경보 필드를 보안 인시던트 필드에 매핑 LogRhythm

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 개별 경보 필드를 보안 인시던트 필드에 매핑합니다. 미리 구성된 매핑은 편집할 수 있으며 필드에 제공된 색상 코딩은 이미 매핑된 경보를 모니터링하는 데 도움이 됩니다. 이 단계는 편집 내용이 보안 인시던트의 필드에 미치는 영향을 시각화하는 데 도움이 됩니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    경보에 LogRhythm 익숙하지 않은 경우 클라이언트 콘솔로 LogRhythm 이동하여 몇 가지 샘플 경보 ID를 검토하십시오. 다음 예 LogRhythm 에서는 경보 94689474 를 사용하여 경보를 보안 인시던트에 매핑했습니다.

    이 태스크 정보

    이 양식을 사용하여 왼쪽의 경보 규칙을 LogRhythm 오른쪽의 보안 인시던트 필드에 매핑합니다.

    다음 그림은 각 경보 프로파일에 대해 미리 구성된 경보의 기본 매핑을 보여줍니다. 이 기본 매핑은 편집할 수 있으며 이 양식을 사용하여 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 이 매핑을 완료한 후에는 경보 필드 추가 또는 제거가 보안 인시던트의 필드 값에 잠재적으로 어떤 영향을 미치는지 확인할 수 있습니다.

    다음 그림에서 이 양식의 왼쪽에는 경보 규칙이 LogRhythm 간략하게 설명되어 있습니다. 이러한 경보 규칙의 값은 양식 오른쪽에 있는 보안 인시던트 필드에 매핑됩니다.

    프로시저

    1. LogRhythm에 대한 경보 프로파일을 생성한 후 진행률 표시줄에서 매핑 을 클릭합니다.
    2. 경보 샘플 수집 필드에 쉼표(9468,9474)로 구분된 최대 5개의 샘플 LogRhythm 경보 ID를 입력합니다.
      작업: 알람 프로파일을 가져올 알람을 입력합니다.
    3. 경보 필드 옆에 있는 Pull Alarms(경보 끌어오기)를 클릭합니다.

      샘플 경보를 가져오는 데 시간이 걸릴 수 있습니다. 트랜잭션이 작동하고 있음을 나타내는 메시지가 화면 위쪽에 표시됩니다.

      샘플 경보 ID가 제출되고 서버에서 성공적으로 가져오 LogRhythm 면 경보 필드와 해당 값이 탭에 표시됩니다.
      주:
      경보 ID를 성공적으로 가져온 ServiceNow AI Platform 후 다음 메시지가 반환될 수 있습니다. 다음 새 필드를 곧 필터링할 수 있습니다. 이러한 필드를 기준으로 필터링해야 하는 경우 몇 분 후에 이 프로파일을 다시 로드하십시오. itemspacketsin, itemspacketsout입니다.

      이 메시지는 끌어온 단일 경보에 이전에 에서 처리 ServiceNow AI Platform되지 않은 필드 이름이 포함되어 있을 때 발생합니다. 이러한 필드는 매핑에 사용할 수 있지만, 이 메시지가 표시되면 필터링 조건을 설정할 준비가 되었을 때 해당 필드가 표시되고 조건 작성기의 필터 선택 목록에서 사용할 수 있도록 양식을 다시 로드합니다.

      경보 프로파일 구성에서 이러한 샘플 경보를 수집하면 값이 포함되지 않은 경보 필드를 보안 인시던트에 매핑하는 것을 방지할 수 있습니다. 또한 경보 필드와 값을 보안 인시던트의 해당 필드에 맞춥니다. 이 단계에서는 모든 중요 경보 필드가 매핑되고 보안 인시던트에 누락된 필드 값이 없는지 확인합니다.

      매핑 프로세스에서 경보가 간과되거나 중복되지 않도록 알람 필드는 색으로 구분되어 있습니다. 연한 파란색 경보 필드(Account, AlarmRuleID, AlarmStatus 등)는 보안 인시던트에 매핑할 필드가 아직 선택되지 않았음을 나타냅니다.

      회색 필드(AlarmDate, AlarmIDAlarmRuleName)는 필드가 이미 선택되어 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 경우에 따라 경보 필드가 보안 인시던트의 두 개 이상의 필드에 매핑될 수 있기 때문에 이 색상 코딩은 매핑을 추적하는 데 도움이 됩니다. 예를 들어 옵저버블작업 메모 필드에는 둘 이상의 값이 있을 수 있습니다.

    4. 샘플 알람 데이터를 지우려면 샘플 알람 데이터 지우기를 클릭합니다.
    5. 보안 인시던트의 기본 구성을 편집하려면 다음 단계에 따라 필드를 추가합니다.
      예시에서는 필드를 검색하고 추가하고 매핑하는 방법을 보여줍니다.
      1. 양식의 오른쪽 하단에서 더하기 아이콘을 클릭합니다.
        새 필드가 표시됩니다.
      2. 보안 인시던트 열의 선택 목록에서 사용 가능한 필드를 선택합니다.

        확장된 선택 목록에서 일부 필드는 음영 처리됩니다. 예를 들어 범주 배경은 회색으로 표시되며, 이는 범주 가 보안 인시던트에 매핑되었음을 나타냅니다. 경보 필드의 LogRhythm 색상 코딩과 유사하게 보안 인시던트 필드에 대한 이러한 색상 코딩은 경보 필드의 값이 실수로 동일한 보안 인시던트 필드에 매핑되지 않도록 합니다.

        위 그림에서 경보 규칙 ${Alarm:classificationName}$ 은 이 프로파일의 보안 인시던트에 있는 범주 필드에 이미 매핑되어 있습니다.

        주:
        옵저버블 필드는 여러 옵저버블을 표시할 수 있도록 동일한 보안 인시던트의 필드 이상에 매핑될 수 있습니다. 마찬가지로 구성 항목작업 메모 필드를 매핑하여 여러 값을 표시할 수 있습니다.

        양식의 경보 샘플 수집 측면에서 파란색은 경보 규칙 필드가 매핑되지 않았음을 나타냅니다. 회색은 매핑되었음을 나타냅니다. 양식의 SIR 인시던트 필드 매핑 쪽에 있는 선택 목록에서 흰색은 필드가 매핑되지 않았음을 나타냅니다. 회색은 필드가 매핑되었음을 나타냅니다. 이 색상 코딩을 사용하여 필드 매핑을 추적하는 데 도움이 됩니다.

        위 그림에서 영향을 받는 사용자가 보안 인시던트의 새 필드로 선택 목록에서 선택되었습니다.

      3. 양식 왼쪽의 알람 샘플 수집 섹션에서 마우스 왼쪽 버튼을 클릭하여 입력 식 필드에서 원하는 알람 ID를 선택합니다.

        위 그림에서는 로그인이 선택되었습니다.

      4. 지워진 필드로 드래그했다가 놓습니다.
        SIR 인시던트 필드 매핑 섹션의 왼쪽 열에 영향을 받는 사용자 필드의 새 값이 표시됩니다. 이 경우 경보의 LogRhythm로그인 값이 보안 인시던트의 영향을 받는 사용자 필드에 표시됩니다.
    6. 또는 입력 식 열의 필드 값을 수동으로 입력하려면 입력 식 필드에 커서를 놓고 원하는 경보 값을 입력합니다.

      예를 들어 위 그림에서 보안 인시던트 양식에 다른 필드(할당 그룹)가 추가되었으며 보안 인시던트 할당 이 필드에 수동으로 입력되었습니다.

    7. 필요에 따라 미리 구성된 매핑을 계속 편집합니다.
      경보 필드의 LogRhythm 값을 보안 인시던트의 필드에서 지원하는 값으로 변환해야 하는 경우 스크립트 편집기를 사용할 수 있습니다. 스크립트 편집기를 사용하여 값 서식 지정 LogRhythm 문서를 참조하십시오.

    다음에 수행할 작업

    필드 매핑을 완료한 후 다음 단계는 입니다.LogRhythm에 대한 경보 필터링