통합을 위한 Splunk Enterprise Event Ingestion 보안 인시던트 미리 보기

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • 매핑 단계를 완료한 후 (SIR) 보안 인시던트에서 매핑한 값을 미리 봅니다 Now Platform® 보안 인시던트 응답 . 이 미리 보기 단계를 통해 보안 인시던트에 표시하려는 모든 경보 필드를 매핑했는지 확인할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    보안 인시던트를 미리 보고 필요에 따라 매핑을 다시 편집하여 오류가 있는 필드를 수정하거나 누락된 데이터를 채웁니다. 미리 보기가 성공적으로 완료되지 않으면 예약 단계를 진행할 수 없습니다. 보안 인시던트의 미리 보기 SIR 는 제품에 실제 인시던트로 SIR 저장되지 않습니다.

    프로시저

    1. 보안 인시던트 미리 보기가 표시되지 않으면 진행률 표시줄에서 미리 보기를 클릭합니다.
    2. 경보 이름을 선택한 다음 샘플 경보 ID 목록에서 항목을 선택합니다.
      경보 선택 선택 목록이 확장되었습니다.

      보안 인시던트가 표시됩니다. 필드의 정보를 변경하지 마십시오. 이 뷰는 읽기 전용 뷰이며 이 보안 인시던트의 기록은 저장되지 않습니다.

    3. 보안 인시던트에 대한 경보 값의 필드 매핑을 검토합니다.
      미리 보기의 보안 인시던트에 대한 오류 메시지입니다.

      앞의 이미지는 매핑 오류가 있는 미리 보기의 예입니다. 이 예에서는 보안 인시던트의 필드가 값에 대해 존재하지 않거나 필드가 매핑한 값을 지원하지 않습니다. 구성 항목 필드에 대한 입력 값을 찾을 수 없음을 나타내는 오류 메시지가 표시됩니다.

    4. 이 오류를 해결하려면 진행률 표시줄에서 매핑 을 클릭합니다.
    5. 매핑을 편집하여 잘못된 값을 수정하거나 누락된 데이터를 채웁니다.
    6. 매핑을 미리 보고 오류 메시지에 설명된 오류를 계속 수정합니다.

      다음 그림은 모든 오류 메시지가 해결된 후 보안 인시던트의 아래쪽 절반 SIR 에 있는 인시던트 세부 정보 탭의 예입니다. 이 예시에서는 설명 및 작업 메모 필드가 매핑되었으며, 이 필드는 콘솔에서 Splunk Enterprise 가져온 값 쌍의 값으로 채워집니다. 첫 번째 작업 메모 필드에는 값이 없습니다. 매핑 단계 동안 매핑 그리드에서 이 필드가 비어 있었습니다. 값이 있는 추가 작업 메모 필드가 매핑 단계 중에 매핑 그리드에 추가되었습니다.

      보안 인시던트 미리 보기의 작업 메모 및 설명 필드입니다.
    7. 오류를 수정하고 필드가 원하는 방식인지 확인한 후 하나의 옵션을 선택하여 계속합니다.
      옵션설명
      계속 예약된 경보가 있는 프로파일에 대해 일정 양식이 표시됩니다.

      진행률 표시줄에서 예약이 선택됩니다.
      마침 수동 이벤트 전달을 위해 구성된 프로필의 경우 Finish( 마침)를 클릭합니다. 콘솔에서 직접 Splunk Enterprise 요청 시 익스포트되는 이벤트 데이터가 포함된 프로파일에는 예약 단계가 없습니다.
      업데이트 데이터가 저장되고 이벤트 프로파일 목록으로 Splunk 돌아갑니다.
      이전 진행률 표시줄에 매핑 단계가 표시됩니다.
      삭제 이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    오류 메시지가 표시되지 않고 보안 인시던트의 필드 매핑에 만족하는 경우 다음 단계는 통합에 Splunk Enterprise Event Ingestion 대한 경보 예약 및 검색입니다.