스크립트 편집기를 사용하여 이벤트 수집 통합에 대한 경보 값의 서식을 Splunk Enterprise Security 지정합니다
수집된 주목할 만한 이벤트 값에서 직접 매핑된 필드와 수동으로 입력한 값 외에도 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값의 형식을 지정합니다.
시작하기 전에
필요한 역할: sn_si.ingestion_profile_admin
주:
sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
이 태스크 정보
Splunk Enterprise Security 경우에 따라 주목할 만한 이벤트 값이 인시던트의 범주, CI(구성 항목) 및 옵저버블 필드에 SIR 매핑되는 것은 지원되지 않습니다. 매핑된 값을 편집하는 것이 좋습니다. 주목할 만한 이벤트의 Splunk Enterprise Security 값을 보안 인시던트의 SIR 이러한 필드에서 지원하는 값으로 변환하려면 스크립트 편집기를 사용하십시오.
프로시저
-
매핑 양식이 표시되면 링크를 클릭하여 스크립트 편집기를 엽니다.
-
또는 SIR 인시던트 필드 매핑 섹션에서 필드 옆에 있는 대괄호 아이콘 [{}] 을 클릭하여 해당 필드의 스크립트 편집기를 엽니다.
특정 인스턴스에서는 스크립트 포함이 구성 항목 필드에 적합할 수 있습니다. 예를 들어, 주목할 만한 이벤트의 경우 구성 항목의 값이 일치하지 않을 수 있습니다.
다음 그림과 같이 구성 항목 필드의 CMDB ServiceNow AI Platform® 에서 호스트 이름과 일치하는 항목을 찾을 수 없는 경우 IP 주소가 발견되면 구성 항목 필드가 채워지도록 규칙을 편집할 수 있습니다. 경보에 대한 값이 없으면 보안 인시던트의 필드가 null로 설정됩니다.
대상 필드에 필드가 표시된 편집기가 열립니다. 다음 이미지는 구성 항목 필드가 대상 필드인 편집기를 보여줍니다.