주목할 만한 이벤트 매핑

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 9분

    • 주목할 만한 이벤트 필드 매핑 단계에서는 주목할 만한 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드로 매핑합니다 ServiceNow AI Platform 보안 인시던트 응답 .

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    매핑 그리드는 상관관계 규칙 선택에서 선택한 주목할 만한 이벤트 유형에 대해 사용자 지정할 수 있습니다. 이벤트 필드를 색으로 구분하면 이미 매핑한 이벤트 값이 회색으로 표시되고 매핑되지 않은 나머지 필드는 모두 파란색으로 표시되므로 추적할 수 있습니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 나머지 중요한 이벤트 정보가 매핑되지 않은 상태로 남아 있는지 여부를 더 잘 시각화할 수 있습니다.

    양식 왼쪽의 중요 이벤트 샘플 수집 열에서 최대 5개의 중요 이벤트를 오른쪽에 있는 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 매핑합니다.

    양식 오른쪽의 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. 일반적으로 보안 인시던트 응답 양식에 채워야 하는 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드는 제거할 수 있으며 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 SplunkSIR 수 있습니다.

    프로시저

    1. 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 선택합니다.
    2. 예약된 수집이 있는 프로필의 경우 주목할 만한 이벤트 샘플 수집 아래에서 샘플 데이터 가져오기를 클릭하여 선택한 상관 관계 규칙에 대해 콘솔에서 Splunk Enterprise 최신 샘플 중요 이벤트를 가져옵니다.
      주:
      주목할 만한 최근의 주목할 만한 이벤트 샘플을 끌어오거나 주목할 만한 이벤트 매핑 환경에 사용할 특정 주목할 만한 이벤트에 대한 고유 주목할 만한 이벤트 ID를 제공할 수 있습니다.

      주목할 만한 이벤트 필드 및 값 결과는 개별 탭으로 표시됩니다. 주목할 만한 이벤트를 최대 5개까지 수집할 수 있습니다.

      주목할 만한 샘플 이벤트를 끌어오는 데 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동하고 있음을 나타내는 메시지가 화면 위쪽에 표시됩니다.

      수집된 주목할 만한 이벤트 또는 임포트된 샘플 이벤트에 대한 필드-이름 값 쌍은 수집 끌어오기가 완료된 후 이 양식의 왼쪽에 표시됩니다. 이러한 값은 양식의 SIR 인시던트 필드 매핑 측에 있는 보안 인시던트 필드에 매핑하는 값입니다.

    3. 양식 왼쪽의 필드 값을 양식 오른쪽에 있는 보안 인시던트의 필드에 매핑하려면 양식 왼쪽에 있는 파란색 필드 이름을 길게 클릭합니다.
    4. 필드 이름(예: rule_name)을 끌어서 보안 인시던트 열의 필드 이름 옆에 있는 입력 식 열의 필드에 놓습니다.

      화살표로 표시된 값에 대한 끌어서 놓습니다.

      필드 값이 입력 식 열에 표시됩니다. 다음 이미지에서 rule_name 보안 인시던트의 간단한 설명 필드에 매핑되어 있습니다. 그러나 왼쪽의 모든 값을 오른쪽의 필드와 일치시킬 수 있습니다. 미리 보기 단계에서 값이 보안 인시던트에 올바르게 매핑되어 있는지 확인합니다.

      매핑 프로세스에서 이벤트 필드가 간과되거나 중복되지 않도록 하기 위해 필드는 색으로 구분되어 있습니다. 왼쪽의 연한 파란색 필드는 주목할 만한 이벤트 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 수신 주목할 만한 필드를 보안 인시던트의 두 개 이상의 필드와 연결하는 것이 좋습니다.

      회색 필드는 필드가 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이 색상 코딩은 매핑을 추적하는 데 도움이 됩니다.

      강조 표시된 보안 인시던트에 대한 간단한 설명 필드 및 값

    5. 양식 오른쪽의 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 단계를 따르십시오.
      1. SIR 인시던트 필드 매핑 섹션의 양식 오른쪽에 있는 그리드 하단에서 더하기 아이콘을 클릭합니다.
        새 필드가 표시됩니다.
      2. 보안 인시던트 열에서 표시된 목록을 확장하고 필드를 선택합니다.

        범주 필드 매핑

        주:
        동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있도록 옵저버블 필드를 서로 다른 값으로 여러 번 매핑할 수 있습니다. 마찬가지로 구성 항목 및 작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 하면 인시던트를 미리 볼 때 필드에 값이 없다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 목록이 있고 목록에 표시되지 않은 해당 필드에 옵션을 매핑하려고 하면 해당 필드가 보안 인시던트에 채워지지 않습니다.
      3. 또는 새 행의 검색 필드에 값을 입력합니다.
      4. 양식 왼쪽의 마우스 왼쪽 단추를 클릭하여 입력 식 필드에서 원하는 이벤트 ID 를 선택합니다.
    6. 매핑에 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
      다음 그림은 편집된 매핑의 예입니다. 오른쪽의 하단 필드에는 작업 메모 필드가 추가되며 둘 이상의 값이 있습니다. 긴 텍스트 문자열 필드의 경우 매핑 필드를 확장하여 전체 문자열을 확인하고 아래 스크린샷에 표시된 대로 필드의 오른쪽 아래 모서리를 당겨 필요에 따라 작업 메모 필드를 추가하여 크기를 조정할 수 있습니다.
      여러 값이 강조 표시된 작업 메모
      경고:
      SIR 인시던트 필드 매핑 섹션에서 입력 식 필드에 언급된 URL 및 포트 번호는 단지 예일 뿐이며 바로 사용 가능한 URL 또는 포트 번호가 아닙니다.

      미리 보기에서 이러한 값은 보안 인시던트에 대한 작업 메모에 표시됩니다. 이 값은 매핑 섹션에 추가한 필드에 대한 것이며 작업 메모 필드에 매핑된 값이 여러 개 있기 때문에 값이 입력된 대로 표시됩니다. 이 예에서는 필드에 입력한 공백과 구두점은 관련 항목 섹션에 보안 인시던트 미리 보기의 작업 메모로 표시됩니다.

    7. SIR의 매핑된 필드에 대한 업데이트를 받으려면 입력 식에 대해 업데이트 사용 확인란을 선택합니다.업데이트 사용 확인란 선택됨
    8. 옵션: 앞의 필드 매핑 단계를 완료한 후 인시던트 작성 조건 작성기에서 동일한 필드 값을 사용하여 들어오는 중요 이벤트가 보안 인시던트를 만들기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다 SIR .
      인시던트 생성 조건을 설정하려면 다음 단계를 수행합니다.
      1. 폼에서 인시던트 생성 조건 섹션으로 스크롤한 다음 조건에 따라 필터링 확인란을 선택하여 옵션을 활성화합니다.

        필터 조건 작성기가 표시됩니다. 이러한 필터를 사용하여 필드에 설명된 특정 조건과 일치하는 보안 인시던트를 생성합니다.

        필터 조건 작성기의 첫 번째 필드에 대한 목록의 옵션은 수집한 이벤트의 주목할 만한 이벤트 샘플 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 주목할 만한 이벤트 또는 수동으로 전달된 주목할 만한 이벤트 샘플에 대해 선택한 이벤트에 따라 Splunk 변경됩니다. 입력하는 기준은 대/소문자를 구분하며 주목할 만한 이벤트의 Splunk Enterprise Security 값과 정확히 일치해야 합니다. 필터 필드에 입력할 값을 잘 모르는 경우 콘솔로 Splunk Enterprise Security 돌아가 키워드에 대한 주목할 만한 이벤트를 검토하는 것이 좋습니다.

      2. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
      3. 조건을 더 추가하려면 필드 오른쪽에서 AND 또는 OR를 클릭합니다.
        AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 조건을 일치시킬 수 있습니다.
      4. 옵션: 두 번째 행에서 두 번째 필터 조건을 설정합니다.

        다음 이미지는 보안 인시던트가 생성되기 전에 일치해야 하는 두 가지 조건이 있는 예입니다.


        필터 조건 작성기:2

        입력한 필터링 조건이 모두 일치하는 경우에만 보안 인시던트가 생성되도록 인시던트 작성 조건을 설정했습니다.

        이러한 유형의 인시던트 생성 조건 필터링을 사용하면 보안 이벤트의 범위를 좁히고 에서 기본 상관관계 검색 또는 필터 Splunk를 수정하지 않고도 생성하는 불필요한 보안 인시던트의 수를 제한할 수 있습니다. 추가 필터링 기준이 설정되면 모든 기준과 일치하는 주목할 만한 이벤트만 인시던트에 매핑됩니다.

        주:
        이벤트 필드 이름에 따옴표("), 하이픈('), 밑줄(-), at(@) 또는 앰퍼샌드(&)와 같은 특수 문자가 있는 경우, 매핑 번역을 위해 이러한 문자를 대체해야 할 수 있으며 중복된 이벤트 이름이 생성될 수 있습니다. 매핑은 적절하게 수행될 수 있지만 이벤트 이름이 중복된 필드를 구별하기 위해 숫자 접미사가 추가됩니다. 예를 들어 첫 번째 이벤트 필드가 alerts.alert 이고 두 번째 이벤트 필드가 alerts@alerts인 경우 나머지 표준 텍스트 문자가 동일하기 때문에 이러한 필드를 고유하게 식별할 수 없습니다. 이 경우 두 번째 이벤트 필드에 접미사가 추가되고 필드 이름이 alerts@alert(1)로 바뀝니다.

      유사한 주목할 만한 항목을 처리하고 중복 인시던트를 방지하기 위한 이벤트 집계 기준

    9. 옵션: 중복 보안 인시던트가 생성되지 않도록 추가 이벤트 집계 기준을 정의하여 들어오는 주목할 만한 이벤트가 미해결 보안 인시던트로 집계되도록 합니다.
      기준을 설정하려면 아래 단계를 따르십시오.
      1. 양식에서 Event Aggregation Criteria(이벤트 집계 기준) 섹션으로 스크롤한 다음 Aggregate Conditions(집계 조건 ) 확인란을 선택하여 이 옵션을 활성화합니다.

        일치하는 값이 있는 인시던트 필드가 표시됩니다. 이러한 필드 이름은 보안 인시던트에 구성된 사용자 지정 필드를 포함하는 보안 인시던트의 필드입니다.SIR

      2. 다중 선택 입력 필드에서 의 기존 보안 인시던 ServiceNow AI Platform트와 일치시키려는 필드 값을 선택합니다.
      3. 새 기준 추가를 사용하여 여러 필드 일치 조건을 선택합니다.
        다중 선택 입력 필드에서 선택하는 모든 필드 값은 AND 조건을 사용하는 집계 기준과 일치합니다. 정의된 다중 선택된 필드 조건 중 하나라도 OR 조건을 사용하여 충족될 경우 집계가 발생하는 여러 필드 일치 조건을 선택하려면 새 기준 추가 를 선택합니다.

        새로운 주목할 만한 이벤트가 매핑 단계의 집계 필드 조건에서 선택된 모든 값과 일치하면 새로운 주목할 만한 이벤트가 동일한 필드 값으로 가장 최근에 연 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 다루는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계 주목할 만한 이벤트를 볼 수 있습니다. 보안 인시던트에 대해 집계된 주목할 만한 이벤트는 모두 작업에 대한 이벤트 관련 목록에 표시됩니다 Splunk . 이 목록은 연결된 타임스탬프와 집계된 필드 값을 자세히 설명합니다. 이 정보는 이러한 주목할 만한 이벤트가 기존 보안 인시던트로 집계되는 이유를 이해하는 데 도움이 됩니다. 이 탭이 표시되지 않으면 관련 링크 아래에서 기록의 왼쪽으로 스크롤하여 모든 관련 목록 표시 링크를 클릭합니다.

      4. 옵션: 보안 인시던트에 최근에 추가된 새로운 주목할 만한 이벤트에 대한 작업 메모를 기록하려면 이 옵션을 활성화하는 확인란을 선택합니다.
        작업 메모는 매핑 섹션의 작업 메모 필드에 추가되었을 수 있는 경보 상세 정보 및 기타 상세 정보에 대한 링크와 함께 새로운 주목할 만한 항목이 추가되었음을 기록합니다.
      주목할 만한 이벤트의 Splunk 값을 보안 인시던트의 SIR 필드에 매핑했습니다. 또한 인시던트 생성 필터링 기준을 사용하여 보안 인시던트 생성을 제한하는 추가 조건을 구성했습니다. 또한 이벤트 필드 값이 구성된 집계 기준과 일치하는 경우 주목할 만한 이벤트를 기존 SIR 보안 인시던트에 추가했습니다.
    10. 프로파일 구성을 계속하려면 하나를 선택합니다.
      옵션설명
         
      계속 매핑 양식이 표시됩니다.

      진행률 표시줄에서 미리 보기가 선택됩니다. 다음 단계는 보안 인시던트에 SIR 매핑한 필드를 미리 보는 것입니다.
      업데이트 데이터가 저장되고 Splunk 이벤트 프로파일 목록이 표시됩니다.
      이전 주목할 만한 이벤트 선택 양식이 표시됩니다.
      삭제 이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    다음 단계는 보안 인시던트에 매핑한 값을 미리 보는 것입니다. 자세한 내용은 보안 인시던트 미리 보기 문서를 참조하십시오.