통합에 대해 예약된 Splunk Enterprise Event Ingestion 경보 선택

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 예약된 경보에 대한 프로필을 만든 후 보안 인시던트에 매핑 Now Platform 보안 인시던트 응답 할 이 프로필에 대한 경고를 선택합니다Splunk.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    인스턴스에서 Now Platform 사용 가능한 경보를 보고 매핑에 사용할 수 있는 필드 값을 알 수 있습니다. 값을 보안 인시던트의 필드에 SIR 매핑하기 전에 기본 양식 레이아웃에서 예상한 결과를 수신하는지 확인하려면 경보를 선택합니다. 이 양식의 목록에서 하나의 경보만 선택할 수 있습니다.

    프로시저

    1. 경고 선택 페이지가 표시되지 않으면 진행률 표시줄에서 해당 페이지를 선택하여 표시합니다.
      기본적으로, 핵심 Search & Reporting 앱이 선택됩니다.
    2. 수집할 경고가 다른 Splunk 앱의 일부인 경우 Splunk 앱 선택을 선택하고 선택한 앱 목록에서 앱을 Splunk 선택합니다.
    3. 경보 목록에서 경보를 선택하고 사용 가능 열에서 선택됨 열로 이동합니다.
      여러 경고를 선택할 수도 있습니다. 경보가 단일 프로필의 일부로 선택되면 경보에 공통 필드 매핑 및 프로필 설정이 포함됩니다.

      이 양식의 경보 목록이 콘솔의 경보 목록과 일치합니다 Splunk . 이 양식에는 최대 500개의 경보가 표시됩니다. Splunk 콘솔의 경보 페이지에 500개가 넘는 경보가 나열된 경우 인스턴스의 Now Platform 이 양식에는 처음 500개의 경보만 표시됩니다.

      옵션 설명
      경보 목록 검색 필드에 텍스트를 입력합니다. 검색 필드 아래의 열은 입력한 텍스트에 따라 사용 가능한 옵션으로 필터링됩니다. 경보를 선택하고 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 이동합니다.
      경보 목록에서 경보를 두 번 클릭합니다. 선택됨 열이 선택한 항목으로 채워집니다.
      경보 목록에서 경보 규칙을 한 번 클릭합니다. 알람이 선택됩니다. 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 이동합니다.
      예약된 이벤트 프로파일에 대한 경보를 선택합니다.
    4. 계속하려면 하나의 옵션을 선택합니다.
      옵션설명
      계속하거나 진행률 표시줄에서 매핑을 클릭합니다 매핑 양식이 표시됩니다.

      진행률 표시줄에서 매핑이 선택됩니다. 다음 단계는 경보 필드를 보안 인시던트에 매핑하는 SIR 것입니다.
      업데이트 데이터가 저장되고 Splunk 이벤트 프로필 목록이 표시됩니다.
      이전 이름 단계가 표시됩니다.
      삭제 이 이벤트 프로필을 삭제하면 Splunk 이벤트 프로필 목록이 표시됩니다.

    다음에 수행할 작업

    예약된 경보 프로파일에 대한 경보를 성공적으로 선택했습니다. 다음 단계는 보안 인시던트의 필드에 경고 값 매핑입니다.