보안 인시던트 응답 필드에 위반 필드 매핑 IBM QRadar
개별 공격, 이벤트 및 플로우 필드를 보안 인시던트의 필드에 매핑합니다 Now Platform SIR .
위반 필드 매핑
sn_si.admin 역할의 사용자는 왼쪽에 있는 샘플 위반 섹션의 필드를 사용하여 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 매핑합니다. 왼쪽에서 공격, 이벤트 또는 플로우 필드를 끌어 오른쪽의 인시던트 매핑 섹션에 놓 ServiceNow SIR 아 매핑 구성을 편집합니다. 오른쪽의 매핑은 들어오는 공격 필드를 나가는 보안 인시던트 필드와 연결합니다.
- 샘플 데이터를 가져온 후 다음 단계는 공격, 이벤트 또는 플로우 필드를 보안 인시던트에 매핑하는 것입니다. 양식 왼쪽의 필드 값을 양식 오른쪽의 보안 인시던트 필드에 매핑하려면 양식 왼쪽에 있는 파란색 필드 이름을 길게 클릭합니다.
- 필드 이름(예: 설명)을 끌어서 보안 인시던트 열의 필드 이름 옆에 있는 입력 식 열의 필드에 놓습니다. 필드 값이 입력 표현식 열에 표시됩니다. 다음 이미지에서 설명 은 보안 인시던트의 설명 필드에 매핑됩니다.주:입력 표현식 섹션에 이벤트 또는 플로우 필드 이름을 수동으로 입력하는 경우 매핑되는 필드 이름 앞에 ${Event:eventfield}$ 또는 ${Flow:flowfield}$ 와 같은 프리픽스를 추가해야 합니다.
매핑 프로세스에서 위반, 이벤트 또는 플로우 필드가 간과되거나 중복되지 않도록 필드는 색상으로 구분됩니다. 공격 필드의 색상 코딩은 이미 매핑한 위반 값이 회색으로 표시될 때 이를 추적하는 데 도움이 되며 매핑되지 않은 나머지 필드는 모두 파란색으로 표시됩니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 남아 있는 중요한 위반 정보가 매핑되지 않은 상태로 남아 있는지 여부를 더 잘 시각화할 수 있습니다.
왼쪽의 연한 파란색 필드는 공격 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 들어오는 공격, 이벤트 또는 플로우 필드를 보안 인시던트에 대한 둘 이상의 필드와 연결하는 것을 선호할 수 있습니다. 회색 필드는 필드가 선택되어 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이 색 코딩은 매핑을 추적하는 데 도움이 됩니다.
- 양식 오른쪽의 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 단계를 수행하십시오.
- SIR 인시던트 필드 매핑 섹션의 양식 오른쪽, 그리드 하단에서 더하기(+) 아이콘을 클릭합니다. 새 필드가 표시됩니다.
- 보안 인시던트 열에 표시되는 선택 목록을 확장하고 필드를 선택합니다. 새 필드의 확장된 선택 목록에서 일부 필드는 음영 처리됩니다. 다음 그림에서 범주는 보안 인시던트에 매핑되었기 때문에 배경이 회색입니다. 양식 왼쪽에 있는 공격 필드의 색상 코딩과 마찬가지로 오른쪽의 보안 인시던트 필드에 대한 이 색상 코딩은 이미 매핑된 SIR 인시던트 필드를 추적하는 데 도움이 됩니다.주:동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있으므로 옵저버블 필드를 서로 다른 값으로 여러 번 매핑할 수 있습니다. 마찬가지로 구성 항목 및 작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 할 경우 인시던트를 미리 보면 해당 필드에 값이 없다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 선택 목록이 있는 경우 선택 목록에 표시되지 않는 해당 필드에 옵션을 매핑하려고 하면 보안 인시던트에 필드가 채워지지 않습니다.
- 또는 새 행의 검색 필드에 값을 입력합니다.
- 양식 왼쪽에서 공격 필드를 선택하고 오른쪽에 있는 적절한 보안 인시던트 필드로 끌어다 놓습니다.
- SIR 인시던트 필드 매핑 섹션에서 필드 이름 옆에 있는 - 아이콘을 사용하여 필드를 제거합니다.
- 매핑에 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
여러 값이 있는 공격 필드
- 기본 제품에서 사용할 수 있는 범주 및 사용자 필드(예: 영향을 받는 사용자, 할당 대상)와 같은 보안 인시던트 필드는 여러 값을 지원하지 않습니다.
- 다음 IBM QRadar 필드는 여러 값을 지원합니다.
- 카테고리
- destination_networks
- source_address_ids
- local_destination_address_ids
- remote_destination_ips
- rules_contributing_to_offense
- 사용자
위의 필드를 보안 인시던트 응답 CI 및 옵저버블 유형 필드 이외의 필드에 매핑해야 하는 경우 목록 유형의 새 보안 인시던트 응답 필드를 작성하여 매핑에 사용해야 합니다.
주:기본적으로 비참조 목록 유형 필드만 지원됩니다.
필드 변환 형식 지정
경우에 따라 의 IBM QRadar 위반 필드 값이 SIR 보안 인시던트의 필드로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우, 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷할 수 있습니다. 스크립트 편집기는 비슷하지만 동일하지 않은 값의 서식을 지정하려면 스크립트 편집기를 사용합니다. 예를 들어 스크립트 편집기에서 맬웨어 경고 및 바이러스 감염의 범주 값은 소스 범주에 대해 서로 다른 필드 값을 가질 수 있지만 필드 변환 형식 기능을 사용하여 두 값 모두 SIR 보안 인시던트의 범주 필드에서 공통 악성 코드 활동으로 변환될 수 있습니다.
클릭하십시오. 스크립트 편집기가 표시됩니다.스크립트에 변경 내용을 입력하고 업데이트를 클릭하여 변경 내용을 저장한 후 매핑 페이지로 돌아갑니다.
인시던트 생성 조건
- 폼의 인시던트 생성 조건 섹션으로 스크롤하고 조건을 기준으로 필터링 확인란을 선택하여 옵션을 활성화합니다.
필터 조건 작성기가 표시됩니다. 이러한 필터를 사용하여 필드에 설명된 특정 조건과 일치하는 보안 인시던트를 생성합니다.
필터 조건 빌더의 첫 번째 필드에 대한 선택 목록의 옵션은 수집한 범죄에 대한 샘플 QRadar 위반 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 공격에 따라 변경됩니다. 입력하는 기준은 대소문자를 구분하며 위반 값 IBM QRadar 과 정확히 일치해야 합니다. 필터 필드에 입력할 값이 확실하지 않은 경우 콘솔로 IBM QRadar 돌아가서 키워드에 대한 위반 사항을 검토하는 것이 좋습니다.
주:범주, destination_networks, source_address_ids, local_destination_address_ids, remote_destination_ips, rules_contributing_to_offense 및 사용자 공격 필드는 여러 값을 가질 수 있습니다(값이 배열에 저장되기 때문에). 필터 조건은 문자열만 검색할 수 있으므로 이러한 필드에 대해 포함 필터 조건을 사용하여 데이터가 올바르게 필터링되도록 해야 합니다. - 조건 작성기의 선택 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
- 조건을 더 추가하려면 필드 오른쪽에서 AND 또는 OR를 클릭합니다.
- AND를 선택하면 모든 조건이 일치해야 합니다.
- OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.
- (선택 사항) 두 번째 행에서 두 번째 필터 조건을 설정합니다.
다음 이미지는 보안 인시던트를 만들기 전에 일치해야 하는 두 가지 조건이 있는 예입니다.
입력한 두 필터링 조건이 모두 일치하는 경우에만 보안 인시던트가 생성되도록 인시던트 생성 조건을 설정했습니다.
이러한 유형의 인시던트 생성 조건 필터링을 사용하면 위반 범위를 좁히고 기본 규칙이나 필터를 수정하지 않고도 생성하는 불필요한 보안 인시던트 수를 제한할 수 있습니다 IBM QRadar. 추가 필터링 기준이 설정된 경우 모든 기준과 일치하는 위반만 인시던트에 매핑됩니다.
주:위반 필드 이름에 따옴표("), 하이픈('), 밑줄(-) 또는 앰퍼샌드(@)와 같은 특수 문자가 있는 경우 필터링을 위해 이러한 문자를 교체해야 할 수 있지만 중복된 위반 이름이 있는 필드를 구분하기 위해 숫자 접미사가 추가됩니다. 예를 들어, 첫 번째 위반 필드가alerts.alert이고 두 번째 위반 필드가alerts@alerts인 경우 나머지 표준 텍스트 문자가 동일하기 때문에 이러한 필드를 고유하게 식별할 수 없습니다. 이 경우 접미사가 두 번째 위반 필드에 추가되고 필터 조건 목록에 표시될 때 필드 이름이alerts@alert(1)로 바뀝니다.
유사한 위반을 처리하고 중복 인시던트를 방지하기 위한 위반 집계 기준
- 양식에서 Offense Aggregation Criteria(위반 집계 기준) 섹션으로 스크롤하고 Aggregation Conditions(집계 조건 ) 확인란을 선택하여 이 옵션을 활성화합니다.
인시던트 필드 일치 값 열이 표시됩니다. 이러한 필드 이름은 보안 인시던트에 구성된 사용자 지정 필드를 포함하는 보안 인시던트의 필드입니다 SIR .
- 사용 가능 목록에서 기존 보안 인시던트 Now Platform 와 일치시킬 필드 값을 선택하고 선택됨 목록으로 이동합니다.
이 수신 경보를 기존 보안 인시던트에 추가하려면 선택한 모든 필드 값이 일치해야 합니다. 여기에는 옵저버블 및 구성 항목과 같이 매핑된 여러 공격 필드 값이 있을 수 있는 필드가 포함됩니다. 모든 값이 일치해야 합니다. 값의 하위 집합만 일치하면 공격 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다. 다중 값 필드 매핑은 아래 스크린샷을 참조하십시오.
새 위반이 매핑 단계의 집계 필드 조건에서 선택된 모든 값과 일치하는 경우 새 위반은 동일한 필드 값으로 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 처리하는 sn_si.analyst 역할의 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계된 위반 정보를 볼 수 있습니다. 이 목록은 연결된 타임스탬프 및 집계된 필드 값에 대해 자세히 설명합니다. 이 정보는 이러한 위반이 기존 보안 인시던트로 집계되는 이유를 이해하는 데 도움이 됩니다. 이 탭이 표시되지 않으면 관련 링크 아래에서 기록의 왼쪽으로 스크롤하고 모든 관련 목록 표시 링크를 클릭합니다.
- (선택 사항) 보안 인시던트에 최근에 추가된 새 위반에 대한 작업 메모를 기록하려면 이 옵션을 활성화하는 확인란을 선택합니다. 작업 메모는 매핑 섹션의 작업 메모 필드에 추가되었을 수 있는 위반 상세 정보 및 기타 상세 정보에 대한 링크와 함께 새 위반이 추가되었음을 기록합니다.
공격의 IBM QRadar 값을 보안 인시던트의 필드로 성공적으로 매핑했습니다. 또한 인시던트 생성 필터링 기준을 사용하여 보안 인시던트 생성을 제한하는 추가 조건을 구성했습니다. 또한 위반 필드 값이 구성된 집계 기준과 일치할 때 기존 보안 인시던트에 위반을 추가했습니다.
- 계속을 클릭하여 프로파일 구성을 계속합니다. 다음 단계는 보안 인시던트에 SIR 매핑한 필드를 미리 보는 것입니다