수동 검색 명령
수동 검색 명령은 모든 검색 창에서 입력됩니다. 보안 인시던트 또는 이벤트를 생성할 수 있습니다. 명령 이후에는 원하는 기록을 생성하는 데 사용되는 필드 이름과 값 쌍이 있습니다.
보안 이벤트
보안 이벤트 명령 snsecevent는 보안 분류로 이벤트를 ServiceNow 작성합니다.
이러한 이벤트는 자체적으로 검토할 수 있으며, 내부 경보 규칙 ServiceNow 또는 수동 조치로 이벤트 또는 이벤트 모음을 보안 인시던트로 전환할 수 있습니다.
이벤트가 보안 인시던트가 되고 각 매개변수가 이벤트로 전송되는 경우 이 데이터는 다음과 같이 보안 인시던트를 채우는 데 사용됩니다.
| 매개변수 이름 | 필수 | 사용 | 보안 인시던트에서 사용 |
|---|---|---|---|
| 노드 | 예 | 노드는 이벤트에 대한 서버 또는 구성 항목을 나타냅니다. 이상적으로 이 노드는 내부 기존 CI ServiceNow에 매핑됩니다. | 보안 인시던트에서 사용 |
| 유형 | 예 | 이벤트의 범주입니다. | 간단한 설명 |
| 자원 | 예 | 구성 항목입니다. | 간단한 설명 |
| 소스 | 아니요 | 이 데이터의 출처입니다. 기본적으로 Splunk 서버가 데이터를 생성합니다. | 활동 로그 |
| external_url | 아니요 | 이 이벤트와 관련된 Splunk 데이터로 돌아가는 데 사용할 ServiceNow 드릴다운 URL입니다. 기본적으로 이 URL에는 경보에 대한 결과 링크 또는 기본 Splunk 검색 페이지에 대한 링크가 포함되어 있습니다. | 보안 인시던트 양식의 드릴다운 단추를 통해 접근하는 외부 URL |
| time_of_event | 아니요 | Splunk에 이벤트가 로그된 시간입니다. | 해당 사항 없음 |
| 기타 모든 값(이 예에서는 범주, 하위 범주) | 아니요 | 이벤트의 정보 필드에 속하지 않는 모든 필드입니다. 보안 인시던트가 생성되면 사용됩니다. | 필드가 있고 채워지지 않은 경우 보안 인시던트에서 해당 값을 사용합니다. 예를 들어 이벤트를 통해 전달된 범주는 새 보안 인시던트의 범주가 됩니다. 이 이름을 가진 필드가 없으면 이 값이 활동 로그에 배치됩니다. |
보안 인시던트
보안 인시던트 명령 snsecincident는 인스턴스에 ServiceNow 보안 인시던트를 생성합니다.
| 매개변수 | 필수 | 사용 |
|---|---|---|
| short_description | 예 | 인시던트에 대한 한 줄의 짧은 설명입니다. |
| 범주 | 아니요 | 보안 인시던트의 범주입니다. 이 범주가 없으면 작성됩니다. |
| 하위 범주 | 아니요 | 하위 범주입니다. 이 하위 범주가 없으면 생성됩니다. |
| cmdb_ci | 아니요 | 보안 인시던트의 구성 항목입니다. 이상적으로 이 항목은 내부 기존 CI ServiceNow에 매핑됩니다. |
| 설명 | 아니요 | 인시던트에 대한 더 길고 자세한 설명입니다. |
유용한 열이 많을 수 있습니다. 보안 인시던트 변환 맵의 모든 항목을 사용할 수 있습니다. 새 열이 보안 인시던트에 추가되면 변환 맵에 있는 한 이러한 열도 사용됩니다. 몇 가지 유용한 열: 위치, 우선순위, assignment_group, assigned_to, affected_user, attack_vector 및 watch_list.