이벤트 수집에 ArcSight ESM 대한 보안 인시던트 미리 보기 통합

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 1분

    • 매핑 단계를 완료한 후 (SIR) 보안 인시던트에서 매핑한 값을 미리 봅니다 Now Platform 보안 인시던트 응답 . 이 미리 보기 단계를 통해 보안 인시던트에 표시하려는 모든 상관관계 필드를 매핑했는지 확인할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin.

    이 태스크 정보

    sn_si.admin 역할의 사용자는 보안 인시던트를 미리 보고 필요에 따라 매핑을 다시 편집하여 오류가 있는 필드를 수정하거나 누락된 데이터를 채웁니다. 미리 보기가 성공적으로 완료되지 않으면 예약 단계를 진행할 수 없습니다. 보안 인시던트의 미리 보기는 제품에 실제 인시던트로 보안 인시던트 응답 저장되지 않습니다.

    프로시저

    1. 보안 인시던트 미리 보기가 표시되지 않으면 진행률 표시줄에서 미리 보기를 클릭합니다.
    2. 샘플 이벤트 ID 선택 목록에서 항목을 선택합니다.
      보안 인시던트가 표시됩니다. 필드의 정보를 변경하지 마십시오. 이 뷰는 읽기 전용 뷰이며 이 보안 인시던트의 기록은 저장되지 않습니다.
    3. 보안 인시던트에서 상관관계 이벤트 값의 필드 매핑을 검토합니다.

      ArcSight ESM: 프로파일 생성: 미리 보기

      앞의 이미지는 매핑 오류가 있는 미리 보기의 예입니다. 이 예에서는 상관관계 이벤트의 필드 값에 SIR 인시던트 양식의 참조 필드에 적합한 값이 없습니다. 특정 값 세트가 있는 참조 필드인 범주 필드에 대한 입력 값을 찾을 수 없음을 나타내는 오류 메시지가 표시됩니다. 따라서 이 매핑된 필드 값은 추가 수정 없이 보안 인시던트 양식에 SIR 표시되지 않습니다.

    4. 이 오류를 해결하려면 진행률 표시줄에서 매핑 을 클릭합니다.
    5. 매핑을 편집하여 잘못된 값을 수정하거나 누락된 데이터를 채웁니다.
    6. 매핑을 미리 보고 오류 메시지에 설명된 오류를 계속 수정합니다.

      다음 그림은 모든 오류 메시지가 해결된 후 보안 인시던트의 아래쪽 절반에 있는 인시던트 세부 정보 탭의 예입니다. 이 예시에서는 설명 및 작업 메모 필드가 매핑되었으며, 이들 필드는 상관관계 이벤트 샘플에서 ArcSight ESM 가져온 값 쌍의 값으로 채워져 있습니다.


      ArcSight ESM: 프로파일 생성: 인시던트 미리 보기

    다음에 수행할 작업

    오류 메시지가 표시되지 않고 보안 인시던트의 필드 매핑에 만족하는 경우 다음 단계는 일정을 정의하는 것입니다.