이벤트 수집 통합을 위한 Splunk Enterprise Security 이벤트 프로파일 복사
새 프로파일을 생성하는 대신 기존 프로파일 및 관련 설정을 복사합니다. 여러 프로필을 생성하는 경우 기존 프로필의 설정을 재사용하려면 시간을 절약하기 위해 알람 프로필을 복사하는 것이 좋습니다.
시작하기 전에
필요한 역할: sn_si.ingestion_profile_admin
주:
sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
이 태스크 정보
프로파일을 복사하는 경우 프로파일 중복을 방지하기 위해 처음에 프로파일 이름이 수정됩니다. 또한 복사된 프로파일은 비활성화되므로(false) 구성을 완료하기 전에 실수로 활성화되지 않습니다. 프로파일을 복사하고 이미 미리 보고 검증한 보안 인시던트에 대한 기존 맵을 사용합니다.
프로시저
-
Splunk 표시되는 이벤트 프로파일 목록에서 복사할 프로파일을 선택하고 선택한 행에 대한 작업 선택 목록에서 복사를 클릭합니다.
프로파일이 복사되어 목록에 표시됩니다. 복사본에는 매핑 및 일정 구성을 포함하여 원래 프로파일의 모든 설정이 있습니다. 프로파일의 이름에 복사본이 포함되어 있습니다. 원본 프로파일이 활성화되더라도(true), 이 시점에서는 복사본이 비활성화됩니다(false). 필요에 따라 구성 설정이 새 프로파일에 적용되도록 복사한 프로파일의 값을 편집하고 이름을 바꾸는 것을 선호할 수 있습니다.기존 프로파일에서 새 프로파일로 설정을 성공적으로 복사했습니다.
다음에 수행할 작업
구성 단계를 완료한 후 새 프로파일을 활성화(활성화)할 것을 요청합니다.