통합을 위한 Splunk Enterprise Event Ingestion 경보 및 이벤트 매핑

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 예약된 경보 수집 또는 수동 이벤트 전달의 소스를 식별한 후 다음 단계는 개별 이벤트 필드를 (SIR) 보안 인시던트의 ServiceNow AI Platform 보안 인시던트 응답 필드에 매핑하는 것입니다.

    경보 및 이벤트 매핑 개요

    매핑 단계의 경우 sn_si.ingestion_profile_admin 역할을 가진 사용자는 콘솔에서 샘플 경보 Splunk Enterprise 를 수집하거나 이벤트에 대한 이벤트 데이터를 익스포트합니다 Splunk Enterprise .

    다음 그림은 각 유형의 이벤트 프로파일에 대해 제공되는 기본 매핑 그리드의 예입니다. 이 기본 매핑은 편집할 수 있습니다. 이렇게 수정하면 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 매핑 단계를 사용하면 이벤트 필드 추가 또는 제거가 보안 인시던트 필드 값에 SIR 미치는 영향을 시각화할 수 있습니다.

    경보 이름을 선택하고 샘플 데이터Splunk 가져오기를 선택하면 프로파일에서 샘플 경보를 수집할 때 양식 왼쪽에 경보 필드 값이 채워집니다. 보안 인시던트 Splunk 필드에 매핑되는 경보 필드입니다 SIR .

    그림 1. 경보에 대한 기본 매핑 양식
    경보에 대한 기본 매핑 양식입니다.

    전달된 이벤트 Splunk 에 대한 첨부 파일 데이터를 로드하도록 선택하면 양식 왼쪽에 이벤트 필드가 채워집니다. 보안 인시던트 필드에 매핑되는 데이터 필드입니다 SplunkSIR .

    콘솔에서 Splunk 몇 가지 샘플 경보를 검토하여 필드 매핑 구성 단계를 수집하는 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑 이라는 레이블이 붙어 있습니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 선택합니다.

    경보를 매핑하고 엔터프라이즈 콘솔에서 요청 시 이벤트를 익스포트하려면 Splunk 다음과 같은 개념과 작업이 포함됩니다.
    • 자동으로 수집된 경보 프로파일에 대한 샘플 데이터를 가져옵니다. 콘솔의 Splunk Enterprise 발생한 경보에서 데이터를 가져오면(끌어오면) 사용 가능한 경보 필드와 해당 값이 매핑 양식 왼쪽의 기본 매핑 레이아웃에 표시됩니다. 끌어온 경보 ID의 값을 볼 수 있는 탭이 표시됩니다. 양식 왼쪽에 있는 경보 샘플 수집 섹션의 모든 중요 필드가 양식 오른쪽에 있는 그리드에 매핑되는지 확인합니다.
    • 필요한 경우 수동으로 전달된 이벤트 프로파일에 대한 이벤트 샘플 데이터를 로드합니다. 이러한 이벤트에 대한 샘플 데이터는 콘솔에서 Splunk Enterprise.xml 파일로 익스포트되어 인스턴스로 ServiceNow AI Platform® 로드됩니다. 임포트한 데이터는 양식 왼쪽의 경보 샘플 수집 섹션에 표시됩니다.
    • 왼쪽에서 경보를 끌어 오른쪽의 매핑 그리드에 놓아 매핑 구성을 편집합니다. 오른쪽의 매핑 그리드는 수신되는 경보 필드와 나가는 보안 인시던트 필드를 연결합니다.
    • 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 간과되거나 중복된 필드를 제공된 색상 코딩으로 추적합니다.
    • 애플리케이션에 수집되는 경보와 필터링되는 경보를 지정할 수 있도록 필터 조건을 SIR 설정합니다.
    • 수신 경보를 기존 SIR 보안 인시던트에 집계하여 중복 인시던트를 방지하는 추가 인시던트 필드 기준을 정의합니다. 이러한 추가 필터링은 모든 관련 보안 이벤트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.
    • 경우에 따라 Enterprise Console의 Splunk 이벤트 필드 값이 보안 인시던트의 SIR 필드로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오. 예를 들어 스크립트 편집기를 사용하면 콘솔의 Splunk 맬웨어 경보 및 바이러스 감염 필드 값이 모두 보안 인시던트의 SIR 범주 필드에 있는 악성 코드 활동으로 변환됩니다.

    예약된 경보 프로파일

    예약된 경보 프로파일을 만든 후 구성에 대한 프로세스 흐름이 다음 그림에 표시됩니다.

    그림 2. 예약된 경보 프로파일의 프로세스 흐름
    예약된 경보에 대한 프로세스 흐름입니다.

    수동 이벤트 전달 프로파일

    이벤트에 대한 프로파일을 생성한 후 구성에 대한 프로세스 흐름은 다음 그림과 같습니다.

    그림 3. 이벤트 프로파일의 프로세스 흐름
    이벤트 익스포트를 위한 프로세스 흐름입니다.

    다음 단계는 트리거된 경보를 수집하거나 데이터를 익스포트하고 값을 보안 인시던트 필드에 SIR 매핑하는 것입니다.