통합에 대해 예약된 Splunk Enterprise Event Ingestion 경보 선택

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • 예약된 경보에 대한 프로파일을 생성한 후 보안 인시던트에 매핑 Now Platform 보안 인시던트 응답 할 이 프로파일에 대한 경보를 선택합니다Splunk.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    매핑에 사용할 수 있는 필드 값을 알 수 Now Platform 있도록 인스턴스에서 사용 가능한 경보를 봅니다. 보안 인시던트의 필드에 SIR 값을 매핑하기 전에 경보를 선택하여 기본 양식 레이아웃에서 예상 결과를 받았는지 확인합니다. 이 양식의 목록에서 경보를 하나만 선택할 수 있습니다.

    프로시저

    1. 경고 선택 페이지가 표시되지 않으면 진행률 표시줄에서 선택하여 표시합니다.
      기본적으로 핵심 Search & Reporting 앱이 선택됩니다.
    2. 수집할 경고가 다른 Splunk 앱의 일부인 경우 Splunk 앱 선택을 선택하고 선택한 앱 목록에서 앱을 Splunk 선택합니다.
    3. 경보 목록에서 경보를 선택하고 사용 가능 열에서 선택됨 열로 이동합니다.
      여러 경보를 선택할 수도 있습니다. 경보가 단일 프로필의 일부로 선택되면 경보에 공통 필드 매핑과 프로필 설정이 포함됩니다.

      이 양식의 경보 목록이 콘솔의 경보 목록과 일치합니다 Splunk . 이 양식에는 최대 500개의 경보가 표시됩니다. Splunk 콘솔의 경보 페이지에 나열된 경보가 500개를 초과하는 경우 인스턴스의 Now Platform 이 양식에는 처음 500개의 경보만 표시됩니다.

      옵션 설명
      경보 목록 검색 필드에 텍스트를 입력합니다. 검색 필드 아래의 열은 입력한 텍스트에 따라 사용 가능한 옵션으로 필터링됩니다. 경보를 선택하고 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 이동합니다.
      경보 목록에서 경보를 두 번 클릭합니다. 선택됨 열이 선택 항목으로 채워집니다.
      경보 목록에서 경보 규칙을 한 번 클릭합니다. 알람이 선택됩니다. 화살표 키를 사용하여 선택한 경보를 사용 가능 에서 선택됨으로 이동합니다.
      예약된 이벤트 프로파일에 대한 경보를 선택합니다.
    4. 계속하려면 하나의 옵션을 선택하십시오.
      옵션설명
      계속하거나 진행률 표시줄에서 매핑을 클릭합니다 매핑 양식이 표시됩니다.

      진행률 표시줄에서 매핑이 선택됩니다. 다음 단계는 경보 필드를 보안 인시던트에 SIR 매핑하는 것입니다.
      업데이트 데이터가 저장되고 Splunk 이벤트 프로파일 목록이 표시됩니다.
      이전 이름 단계가 표시됩니다.
      삭제 이 이벤트 프로필을 삭제하면 Splunk 이벤트 프로필 목록이 표시됩니다.

    다음에 수행할 작업

    예약된 경보 프로파일에 대한 경보를 성공적으로 선택했습니다. 다음 단계는 경보 값을 보안 인시던트의 필드에 매핑하는 것입니다.