필터 및 집계 기준 정의

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 2분

    • 어떤 수신 Cortex XSIAM 인시던트가 보안 인시던트를 생성해야 하는지 지정하는 필터 조건을 정의하고 설정합니다. 또한 인시던트를 생성하는 대신 수신 인시던트를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의할 수도 있습니다.

    필터링 조건 설정

    Palo Alto Cortex XSIAM 인시던트가 ServiceNow에서 보안 인시던트를 생성하는 필터 조건을 설정합니다.

    시작하기 전에

    필요한 역할: sn_si.admin, sn_si.ingestion_profile_admin

    이 태스크 정보

    필터링을 사용하면 보안 인시던트를 격리하고 생성하는 보안 인시던트 수를 제한할 수 있습니다. 추가 필터링 기준을 설정하면 쿼리 또는 트리거된 인시던트 구성을 변경하지 않고도 필요한 인시던트만 수집됩니다.

    프로시저

    조건을 기준으로 필터링을 선택하여 들어오는 XSIAM 인시던트가 보안 인시던트를 만들기 위해 충족해야 하는 기준을 정의합니다.

    필터 조건의 첫 번째 필드에 있는 옵션은 수집한 인시던트에 대한 Cortex XSIAM 샘플 인시던트 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 인시던트에 따라 변경됩니다. 입력하는 기준은 대/소문자를 구분합니다. 정의하는 기준이 인시던트 값과 일치하는지 확인합니다.

    값이 여러 개인 다음 필드에 대해 필터 조건 incident_id 사용합니다.
    • 심각도
    • creation_time
    • alert_categories
    • alert_count

    필터 조건은 문자열만 검색할 수 있으므로 데이터가 올바르게 필터링되도록 위의 필드에 incident_id 필터 조건을 사용해야 합니다.

    집계 조건 정의

    집계 조건을 선택하여 새 인시던트를 생성하는 대신 수신 인시던트를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의합니다.

    시작하기 전에

    필요한 역할: sn_si.admin, sn_si.ingestion_profile_admin

    프로시저

    1. 계 조건 확인란을 선택합니다.
    2. 일치하는 값이 있는 인시던트 필드 필드에 인스턴스의 기존 보안 인시던트 ServiceNow AI Platform 와 일치시키려는 필드 값을 입력합니다.
      집계 기준이 충족되고 이 수신 인시던트를 기존 보안 인시던트에 추가할 수 있도록 다중 선택 입력 필드에서 선택한 모든 필드 값이 일치해야 합니다. 이 선택은 여러 필드 값을 가질 수 있는 옵저버블 및 구성 항목과 같은 필드가 매핑되는 AND 조건을 의미합니다. 값의 하위 집합만 일치하면 Cortex XSIAM 인시던트 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다.
    3. 기준 추가 를 선택하여 여러 필드 일치 조건을 추가합니다.
      사용자가 정의하는 다중 선택 필드 조건 중 하나가 충족되면 집계가 발생합니다. 이 선택은 OR 조건을 의미합니다.
    4. 새 인시던트가 보안 인시던트에 추가될 때 새 인시던트에 대한 작업 메모를 업데이트하려면 새 인시던트에 대한 작업 메모 기록 을 선택합니다.

      작업 메모는 새 인시던트가 추가되었음을 기록하고 인시던트 상세 정보에 대한 링크를 포함합니다. 로그 작업 메모는 매핑 섹션의 작업 메모 필드에 추가하는 자세한 정보도 업데이트합니다.

      필터링 및 집계 조건 정의

    5. 계속을 선택합니다.

    다음에 수행할 작업

    프로파일의 기준과 일치하는 인시던트 데이터와 수집된 인시던트를 검색하도록 일정을 설정합니다. 자세한 내용은 인시던트 검색 예약 문서를 참조하십시오.