CrowdStrike Next-Gen SIEM 인스턴스에 탐지 프로파일을 ServiceNow AI Platform 생성하여 보안 인시던트를 생성하는 데 적합한 탐지를 결정합니다.
시작하기 전에
필요한 역할: sn_si.ingestion_profile_admin
중요사항: 포털에 CrowdStrike 상관관계 규칙이 구성되어 있지 않으면 탐지 프로파일에 "활성 상태의 상관관계 규칙을 찾을 수 없습니다. 상관관계 규칙이 Crowdstrike 환경에서 구성, 활성화 및 게시되었는지 확인하십시오.ServiceNow® 이 문제를 방지하려면 수집 프로파일을 구성하기 전에 포털에 CrowdStrike 하나 이상의 상관관계 규칙이 생성되어 있는지 확인합니다.
프로시저
-
다음으로 이동 .
-
새로 만들기를 선택합니다.
-
양식에서 필드를 채웁니다.
표 1. CrowdStrike Next-Gen SIEM - 탐지 수집 구성 양식
| 필드 |
설명 |
| 이름 |
프로필의 이름입니다.
이 이름은 이 프로파일과 연결된 보안 태그의 기본 이름이기도 합니다.
|
| 활성 |
프로파일을 활성 상태로 만드는 옵션입니다.
프로파일이 활성 ServiceNow AI Platform 상태이면 필터링 조건이 일치할 때 능동적으로 CrowdStrike Next-Gen SIEM 탐지 및 해당 보안 탐지가 생성됩니다 보안 인시던트 응답 .
|
| 소스 |
CrowdStrike 탐지를 수집하도록 구성한 테넌트입니다. 여러 테넌트가 구성된 경우 프로필에 대해 수집하려는 탐지 유형에 적합한 테넌트를 선택합니다. |
| 순서 |
둘 이상의 프로파일이 트리거 조건을 공유할 때 프로파일이 실행되는 우선순위입니다. 우선순위 값은 일반적으로 100(기본값), 200, 300 등으로 제공됩니다. 가장 낮은 번호의 프로파일이 가장 높은 우선순위를 갖습니다. |
| 설명 |
프로파일에 대한 설명(선택 사항)입니다. |
-
업데이트 를 선택합니다.
초기 탐지 프로파일은 기본 정보를 사용하여 생성됩니다. 이때 프로파일을 저장하면 중단된 경우 프로파일을 계속 정의할 수 있습니다.
- 옵션:
프로파일 정의 프로세스를 즉시 계속하십시오.
-
CrowdStrike-Nextgen 탐지 프로파일 페이지에서 방금 생성한 프로파일을 선택합니다.
-
진행률 표시줄에서 상관관계 규칙을 선택합니다.