수동 검색 명령
수동 검색 명령은 모든 검색 창에서 입력됩니다. 보안 인시던트 또는 이벤트를 생성할 수 있습니다. 명령 뒤에는 원하는 기록을 생성하는 데 사용되는 필드 이름과 값 쌍이 있습니다.
보안 이벤트
보안 이벤트 명령 snsecevent는 보안 분류를 ServiceNow 사용하여 이벤트를 작성합니다.
이러한 이벤트를 자체적으로 검토하거나 내부 ServiceNow 경보 규칙 또는 수동 작업을 통해 이벤트 또는 이벤트 모음을 보안 인시던트로 전환할 수 있습니다.
이벤트가 보안 인시던트가 되고 각 매개변수가 이벤트로 전송되면 이 데이터는 다음과 같이 보안 인시던트를 채우는 데 사용됩니다.
| 매개변수 이름 | 필수 | 사용 | 보안 인시던트에서 사용 |
|---|---|---|---|
| node | 예 | 노드는 이벤트의 서버 또는 구성 항목을 나타냅니다. 이상적으로 이 노드는 에 있는 ServiceNow기존 CI에 매핑됩니다. | 보안 인시던트에서 사용 |
| 유형 | 예 | 이벤트의 범주입니다. | 간단한 설명 |
| resource | 예 | 구성 항목입니다. | 간단한 설명 |
| 소스 | 아니요 | 이 데이터의 출처입니다. 기본적으로 Splunk 서버에서 데이터를 생성합니다. | 활동 로그 |
| external_url | 아니요 | 이 이벤트와 관련된 Splunk 데이터로 돌아가는 데 사용할 ServiceNow 드릴다운 URL입니다. 기본적으로 이 URL에는 경보의 결과 링크 또는 기본 Splunk 검색 페이지에 대한 링크가 포함되어 있습니다. | 보안 인시던트 양식의 드릴다운 버튼을 통해 접근한 외부 URL |
| time_of_event | 아니요 | 이벤트가 Splunk에 로그된 시간입니다. | 해당 사항 없음 |
| 기타 모든 값(예제에서는 category, subcategory) | 아니요 | 이벤트의 정보 필드에 속하지 않는 모든 필드입니다. 보안 인시던트가 생성되면 사용됩니다. | 필드가 존재하지만 채워지지 않은 경우 보안 인시던트는 해당 값을 사용합니다. 예를 들어 이벤트를 통과한 범주는 새 보안 인시던트의 범주가 됩니다. 이 이름의 필드가 없으면 이 값이 활동 로그에 저장됩니다. |
보안 인시던트
보안 인시던트 명령 snsecincident는 인스턴스에 보안 인시던트를 ServiceNow 생성합니다.
| 매개변수 | 필수 | 사용 |
|---|---|---|
| short_description | 예 | 인시던트에 대한 한 줄의 짧은 설명입니다. |
| category | 아니요 | 보안 인시던트의 범주입니다. 이 범주가 없으면 새로 만들어집니다. |
| 하위 범주 | 아니요 | 하위 범주입니다. 이 하위 범주가 없으면 새로 만들어집니다. |
| cmdb_ci | 아니요 | 보안 인시던트의 구성 항목입니다. 이상적으로 이 항목은 ServiceNow. |
| 설명 | 아니요 | 인시던트에 대한 보다 길고 자세한 설명입니다. |
유용한 열이 많을 수 있습니다. 보안 인시던트 변환 맵에 있는 모든 항목을 사용할 수 있습니다. 새 열이 보안 인시던트에 추가되는 경우 변환 맵에 있는 한 새 열도 사용됩니다. 유용한 열: 위치, 우선 순위, assignment_group, assigned_to, affected_user, attack_vector 및 watch_list.