통합을 위한 IBM QRadar 일정 정의

릴리스 버전: Washingtondc

업데이트 날짜 2024년 02월 01일

읽기3분

공격 수집 일정을 정의할 수 있습니다. 이 단계에서 공격 검색에 대한 기본 설정을 확인하거나 필요에 따라 스케줄링을 수정할 수 있습니다. 이 단계에서는 날짜 범위를 사용하여 이전 위반을 검색할 수도 있습니다.

시작하기 전에

필요한 역할: sn_si.admin

이 태스크 정보

예약 단계에서 위반 이력을 수집할지 여부를 선택할 수 있습니다. 또한 프로파일 구성과 일치하는 미래의 새로운 위반 및 업데이트된 위반에 대해 폴링할 빈도를 선택합니다.

sn_si.admin 역할을 가진 사용자는 프로파일별로 이러한 폴링 간격을 구성합니다. 공격 수집 통합의 IBM QRadar 성능은 다양한 폴링 간격의 영향을 받을 수 있습니다. 일정을 잡을 때 서버의 폴링 오버헤드 IBM QRadar 를 줄이는 것과 공격이 생성되거나 업데이트될 때 가능한 한 빨리 알림을 받고자 하는 욕구의 균형을 맞추는 것이 좋습니다. 모든 프로필에 대해 5분 기본값이 설정되지만 필요한 경우 이 설정을 1분으로 수정하는 것이 좋습니다.

신규 및 업데이트된 위반 가져오기

폴링 일정이 설정되면 예약된 작업이 이전에 끌어왔지만 인시던트 필터링 기준을 충족하지 않은 신규 및 업데이트된 위반을 모두 끌어옵니다. 따라서 기준에 따라 인시던트를 생성할 수 있는 유연성을 제공합니다. 이러한 인시던트는 범죄가 처음 생성될 때는 존재하지 않을 수 있지만 조사가 이루어진 후(예: 조사 단계) 사용할 수 있습니다. 특정 범죄에 대해 인시던트가 생성되면 해당 공격이 활성 ServiceNow 보안 인시던트로 처리될 것으로 예상되므로 후속 업데이트는 무시됩니다. 그러나 이전에 수집되었지만 인시던트 생성 기준을 충족하지 못한 다른 모든 위반은 활성 인시던트의 일부가 될 때까지 계속해서 인시던트 생성 기준에 대해 끌어오기 및 확인됩니다.

프로시저

진행률 표시줄에 Scheduling(예약) 페이지가 표시되지 않으면 Scheduling(예약)을 선택합니다.

콘솔에서 IBM QRadar 위반을 가져오는 방법과 시기를 예약하려면 하나를 선택합니다.

옵션	설명
진행 중인 위반 수집 필드 선택됨	진행 중인 공격 기본 설정에 따라 인스턴스는 Now Platform 5분마다 서버에서 신규 및 업데이트된 위반을 IBM QRadar 가져옵니다. 보안 인시던트는 위반이 발견되고 인시던트 생성 필터링 기준이 일치하면 생성됩니다. 최신 데이터를 가져오기 위한 수집 폴링 오버헤드 욕구의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 최소 1분으로 수정할 수 있습니다.
지속적 공격 수집 선택됨 초기 위반 수집 시간 설정	초기 수집 시간 특정 시간에 초기 수집을 예약하려면 다음 단계를 수행합니다. 진행 중인 공격 수집 및 초기 공격 수집 시간 설정 필드를 선택합니다. Input initial offense ingestion time(초기 공격 수집 시간 입력) 필드에 시간을 지정합니다. 초기 수집은 여기에 지정된 시간에 수행됩니다. 후속 수집은 폴링 증분(분) 필드에 정의된 일정을 기반으로 합니다. 초기 위반 수집 시간을 예약하는 예로, 현지 시간으로 하루에 한 번 오전 4시에 실행되는 일일 IBM QRadar 보안 검사가 있는 경우 인스턴스에서 Now Platform 해당 위반 프로파일을 현지 시간으로 오전 4시 5분에 실행되도록 설정하여 보안 장애를 즉시 캡처하고 보안 인시던트를 생성할 수 있습니다. 초기 위반 수집 필드에 `<date> 04 05 00을` 입력합니다. 폴링 증분(분) 필드에 `<date> 1440` (24시간)을 입력하여 초기 위반 수집으로부터 24시간 동안 다음 위반 수집을 예약합니다. 초기 위반 수집 시간과 다음 위반 수집 시간이 모두 필드에 표시됩니다. 초기 수집은 오전 4시 5분에 발생합니다. 후속 수집은 폴링 간격을 기반으로 합니다. 이 경우 폴링 증분이 24시간이므로 다음 수집은 다음 날 오전 4시 5분에 발생합니다.
일회성 검색 필드 선택됨	일회성 검색 과거 범죄를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다. 이 설정이 구성되면 프로파일은 날짜 범위를 기반으로 하는 기록 이벤트에서 범죄를 검색하는 데 한 번 사용됩니다. 날짜 이후 필드 오른쪽에 있는 달력 아이콘을 클릭합니다. 표시되는 달력에서 위반 사항을 가져올 날짜를 선택합니다. 날짜 이후 값으로 시작하여 현재 날짜까지 위반이 검색됩니다. 현재 날짜로부터 최대 7일 전으로 가져올 수 있습니다. 이 기능은 보관상의 이유로 상당한 양의 기록 위반 IBM QRadar 을 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 진행 중 위반을 검색하기 위한 것입니다. 위반을 가져온 후에는 이 설정이 현재 날짜로부터 앞으로 이 프로파일에 대한 추가 위반을 검색하지 않습니다. 이 설정은 입력한 범위에서 발견된 모든 위반 내용으로 보안 인시던트를 채웁니다.

옵션

설명

진행 중인 위반 수집 필드 선택됨

진행 중인 공격

기본 설정에 따라 인스턴스는 Now Platform 5분마다 서버에서 신규 및 업데이트된 위반을 IBM QRadar 가져옵니다. 보안 인시던트는 위반이 발견되고 인시던트 생성 필터링 기준이 일치하면 생성됩니다. 최신 데이터를 가져오기 위한 수집 폴링 오버헤드 욕구의 균형을 맞추기 위해 5분이 기본 설정입니다. 그러나 필요한 경우 이 값을 최소 1분으로 수정할 수 있습니다.

지속적 공격 수집 선택됨
초기 위반 수집 시간 설정

초기 수집 시간

특정 시간에 초기 수집을 예약하려면 다음 단계를 수행합니다.

진행 중인 공격 수집 및 초기 공격 수집 시간 설정 필드를 선택합니다.
Input initial offense ingestion time(초기 공격 수집 시간 입력) 필드에 시간을 지정합니다.

초기 수집은 여기에 지정된 시간에 수행됩니다. 후속 수집은 폴링 증분(분) 필드에 정의된 일정을 기반으로 합니다.

초기 위반 수집 시간을 예약하는 예로, 현지 시간으로 하루에 한 번 오전 4시에 실행되는 일일 IBM QRadar 보안 검사가 있는 경우 인스턴스에서 Now Platform 해당 위반 프로파일을 현지 시간으로 오전 4시 5분에 실행되도록 설정하여 보안 장애를 즉시 캡처하고 보안 인시던트를 생성할 수 있습니다.

초기 위반 수집 필드에 <date> 04 05 00을 입력합니다. 폴링 증분(분) 필드에 <date> 1440 (24시간)을 입력하여 초기 위반 수집으로부터 24시간 동안 다음 위반 수집을 예약합니다. 초기 위반 수집 시간과 다음 위반 수집 시간이 모두 필드에 표시됩니다.

초기 수집은 오전 4시 5분에 발생합니다. 후속 수집은 폴링 간격을 기반으로 합니다. 이 경우 폴링 증분이 24시간이므로 다음 수집은 다음 날 오전 4시 5분에 발생합니다.

일회성 검색 필드 선택됨

일회성 검색

과거 범죄를 수집하기 위해 일회성 끌어오기를 원하는 경우 이 구성을 사용합니다.

이 설정이 구성되면 프로파일은 날짜 범위를 기반으로 하는 기록 이벤트에서 범죄를 검색하는 데 한 번 사용됩니다. 날짜 이후 필드 오른쪽에 있는 달력 아이콘을 클릭합니다. 표시되는 달력에서 위반 사항을 가져올 날짜를 선택합니다. 날짜 이후 값으로 시작하여 현재 날짜까지 위반이 검색됩니다. 현재 날짜로부터 최대 7일 전으로 가져올 수 있습니다. 이 기능은 보관상의 이유로 상당한 양의 기록 위반 IBM QRadar 을 검색하기 위한 것이 아니라 프로필 활성화 시 활발하게 작업 중인 최소한의 진행 중 위반을 검색하기 위한 것입니다.

위반을 가져온 후에는 이 설정이 현재 날짜로부터 앞으로 이 프로파일에 대한 추가 위반을 검색하지 않습니다. 이 설정은 입력한 범위에서 발견된 모든 위반 내용으로 보안 인시던트를 채웁니다.

Continue(계속)를 클릭하여 Additional Options(추가 옵션) 페이지로 이동합니다.