보안 인시던트 자동 생성
Splunk와 같은 외부 공급업체 모니터링 도구를 통합 보안 인시던트 응답 하면 해당 도구에서 임포트된 보안 이벤트가 보안 인시던트를 자동으로 생성할 수 있습니다. 타사 도구의 데이터를 보안 경보로 임포트할 수도 있습니다.
경보 모니터링 도구를 보안 인시던트 응답통합하려면 REST API 를 사용하여 보안 인시던트 임포트 [sn_si_incident_import] 테이블에 기록해야 합니다. 그런 다음 보안 인시던트 변환 변환 맵을 사용하여 임포트 세트 소스 테이블이 대상 보안 인시던트 [sn_si.incident] 테이블의 필드에 매핑됩니다.
변환 맵에서 인식하지 못하는 CI 기록을 임포트하려고 하면 변환 맵 스크립트는 일치를 만들기 위해 다음 기록을 검사합니다(이 순서대로).
- sys_id
- CI 이름
- 전체 주소 도메인 이름
- IP 주소
주:
사용 중인 타사 경보 모니터링 도구에 보안 인시던트 변환 변환 맵이 적합하지 않은 경우 변환 맵을 복제하고 새 맵을 만든 다음 필요에 따라 필드를 편집합니다.