프로파일 생성

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 수동 전달 이벤트에 대한 프로파일을 설정할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    프로시저

    수동 이벤트 전달을 지원하는 프로필을 만들려면 다음 단계를 수행합니다.

    콘솔에서 Splunk Enterprise Security 요청 시 전달하는 이벤트의 경우 개별 필드 매핑을 기존 프로파일에 기반으로 할 수 있습니다. 또는 익스포트한 첨부 파일 데이터에 대한 새 매핑 그리드를 생성할 수 있습니다. 수동으로 전달하는 이벤트는 이벤트 프로파일에 예약되지 않습니다.

    1. 아직 선택하지 않은 경우 유형 필드의 선택 목록에서 수동 이벤트 전달을 선택합니다.
    2. 표시되는 매핑 옵션 필드의 선택 목록에서 매핑 옵션 하나를 선택하여 계속합니다.
      매핑 옵션 선택 목록에서 사용 가능한 매핑 옵션에 대한 자세한 내용은 다음 그림과 테이블을 참조하십시오.
      Splunk: 수동 이벤트 전달
      표 1. 새 필드 매핑 옵션 생성
      옵션 또는 필드 설명
      새 필드 매핑 옵션 생성 이벤트에 대한 새 필드 매핑입니다.

      생성 중인 프로파일과 유사한 기존 필드 매핑이 없는 경우 이 옵션을 선택하여 새 맵을 생성합니다.
      기본 프로파일

      모든 Splunk 이벤트에 대한 기본 이벤트 전달 프로파일입니다. 기본값은 지워집니다(비활성화됨).

      이 옵션을 사용하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다. 이 프로파일은 수동으로 전달된 이벤트의 소스에 일치하는 항목이 없을 때 사용됩니다. 알 수 없는 소스가 있는 모든 이벤트의 기본 프로파일이 됩니다.

      기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
      소스(주목할 만한 이벤트 필드) 이 필드는 일반적으로 무차별 대입 공격과 같은 주목할 만한 것을 트리거한 상관관계 규칙을 정의하는 필드입니다.

      기본 프로파일 옵션이 활성화된 경우 이 필드를 사용할 수 없습니다.

      사용 가능한 경우 이 필드를 사용하면 일반적으로 이벤트 유형마다 다른 Splunk 상관관계 규칙에 따라 보안 인시던트 필드에 고유한 이벤트 필드를 매핑할 수 있습니다.

      서로 다른 상관관계 규칙을 개별적으로 관리하려면 상관관계 규칙을 기반으로 다른 프로파일 이벤트 프로파일을 생성하여 이 요구 사항을 달성할 수 있습니다.
      주목할 만한 이벤트 업데이트 자동화 주목할 만한 이벤트 상태를 업데이트하고 주목할 만한 이벤트에서 SIR 인시던트가 생성되거나 SIR 인시던트가 종결될 때 주석을 추가하려면 이 확인란을 선택합니다. 이는 SIR 인시던트를 생성하는 초기 트리거된 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생합니다.

      소스(Splunk 서버)

      Splunk 주목할 만한 이벤트의 소스로 구성한 서버입니다. 여러 Splunk 서버가 구성된 경우 프로파일에 대해 업데이트될 주목할 만한 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
      순서 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

      많은 수의 프로필을 만든 경우 이 값은 둘 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
      (선택 사항) 설명 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

      새 필드 매핑이 있는 프로파일의 경우 소스 유형 필드에 값을 입력했는지 확인하고 계속을 클릭하여 구성의 매핑 단계로 진행합니다.

      기존 필드 매핑이 있는 프로파일의 경우 다음 그림과 표를 참조하십시오.
      수동: 기존 프로파일
      표 2. 필드 매핑 옵션에 대한 기존 프로파일 선택
      옵션 또는 필드 설명
      필드 매핑을 위한 기존 프로파일 선택 새 주목할 만한 이벤트 프로파일에 기존 필드 매핑을 재사용합니다. 프로파일에서 복사 필드가 표시됩니다.

      다음 단계에 따라 이 프로파일에 대한 기존 필드 매핑을 복사합니다.

      1. 표시되는 프로파일에서 복사 필드 왼쪽에서 검색 아이콘을 클릭합니다.
      2. Splunk 표시되는 ES 이벤트 프로파일 목록에서 복사할 맵이 있는 프로파일 이름을 클릭합니다.

        프로파일 이름이 프로파일에서 복사 필드에 표시됩니다.
      기본 프로파일

      일치하지 않는 소스가 있는 모든 Splunk 주목할 만한 이벤트에 대한 기본 이벤트 전달 프로파일입니다. 기본값은 지워집니다(사용 안 함).

      이 옵션을 사용하면 이 프로파일이 수동 이벤트 전달을 위한 기본 프로파일이 됩니다.

      기본 프로파일 옵션이 활성화된 경우 소스 필드를 사용할 수 없습니다.
      소스(주목할 만한 이벤트 필드) 이 필드는 일반적으로 무차별 대입 공격과 같은 주목할 만한 것을 트리거한 상관관계 규칙을 정의하는 필드입니다.

      기본 프로파일 옵션이 활성화된 경우 이 필드를 사용할 수 없습니다.

      사용 가능한 경우 이 필드를 사용하면 일반적으로 이벤트 유형마다 다른 Splunk 상관관계 규칙에 따라 보안 인시던트 필드에 고유한 이벤트 필드를 매핑할 수 있습니다.

      서로 다른 상관관계 규칙을 개별적으로 관리하려면 상관관계 규칙을 기반으로 다른 프로파일 이벤트 프로파일을 생성하여 이 요구 사항을 달성할 수 있습니다.
      주목할 만한 이벤트 자동화 주목할 만한 이벤트에서 보안 인시던트가 생성되거나 보안 인시던트가 종결된 경우 주목할 만한 이벤트 상태를 업데이트하고 추가 설명을 추가하려면 이 확인란을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거된 주목할 만한 이벤트와 집계된 이벤트 모두에 대해 발생합니다.

      소스(Splunk 서버)

      Splunk 주목할 만한 이벤트의 소스로 구성한 서버 또는 검색 끝입니다. 여러 Splunk 서버가 구성된 경우 프로파일에 대해 업데이트될 주목할 만한 이벤트 유형에 적합한 서버를 선택합니다. 값을 입력해야 합니다.
      순서 기본값은 100입니다. 이 설정을 기본값으로 둡니다.

      여러 프로필을 만든 경우 이 값은 둘 이상의 프로필이 트리거 조건을 공유할 때 실행 시간 실행 우선순위를 제공합니다. 숫자가 가장 낮은 프로파일의 워크플로우가 가장 높은 우선순위를 갖습니다.
      (선택 사항) 설명 이 프로파일을 다른 프로파일과 구분하는 데 도움이 되는 텍스트입니다.

      프로파일에 대한 기존 매핑을 선택하기 위한 양식 하단에서 마침을 클릭하여 프로파일 구성을 완료합니다.