경보 필드를 보안 인시던트 필드에 매핑 LogRhythm

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 개별 경보 필드를 보안 인시던트 필드에 매핑합니다. 미리 구성된 매핑을 편집할 수 있으며 필드에 색상 코딩이 제공되어 이미 매핑된 경보를 모니터링하는 데 도움이 됩니다. 이 단계는 편집 내용이 보안 인시던트의 필드에 미치는 영향을 시각화하는 데 도움이 됩니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    경보에 LogRhythm 익숙하지 않은 경우 클라이언트 콘솔로 LogRhythm 이동하여 몇 가지 샘플 경보 ID를 검토합니다. 다음 예에서는 LogRhythm 경보 94689474 를 사용하여 경보를 보안 인시던트에 매핑했습니다.

    이 태스크 정보

    이 양식을 사용하여 왼쪽의 경보 규칙을 오른쪽의 보안 인시던트 필드에 매핑 LogRhythm 합니다.

    다음 그림은 각 경보 프로파일에 대해 미리 구성된 경보의 기본 매핑을 보여줍니다. 이 기본 매핑은 편집할 수 있으며, 이 양식을 사용하여 보안 인시던트를 채우는 필드를 사용자 지정합니다. 이 매핑을 완료하면 경보 필드를 추가하거나 제거하면 보안 인시던트의 필드 값에 어떤 영향을 줄 수 있는지 확인할 수 있습니다.

    다음 그림 LogRhythm 에서 이 양식의 왼쪽에는 경보 규칙이 요약되어 있습니다. 이러한 경보 규칙의 값은 양식 오른쪽에 있는 보안 인시던트 필드에 매핑됩니다.

    프로시저

    1. LogRhythm에 대한 경보 프로필을 만든 후 진행률 표시줄에서 매핑 을 클릭합니다.
    2. 알람 샘플 수집 필드에 최대 5개의 샘플 LogRhythm 알람 ID를 쉼표로 구분하여 입력합니다(9468,9474).
      작업: 경보 프로파일에 대해 끌어올 경보를 입력합니다.
    3. 경보 필드 옆에 있는 Pull Alarms를 클릭합니다.

      샘플 알람을 끌어오는 데 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 맨 위에 표시됩니다.

      샘플 경보 ID가 제출되고 서버에서 성공적으로 끌어오 LogRhythm 면 경보 필드와 해당 값이 탭에 표시됩니다.
      주:
      경보 ID를 성공적으로 끌어온 후 다음 Now Platform 메시지를 반환할 수 있습니다. 다음 새 필드를 곧 필터링할 수 있습니다. 이러한 필드를 기준으로 필터링해야 하는 경우 몇 분 후에 이 프로파일을 다시 로드하십시오. itemspacketsin, itemspacketsout.

      이 메시지는 끌어온 단일 경보에 이전에 에서 Now Platform처리하지 않은 필드 이름이 포함될 때 발생합니다. 이러한 필드는 매핑에 사용할 수 있지만 이 메시지가 표시되면 필터링 조건을 설정할 준비가 되면 이러한 필드가 조건 작성기의 필터 선택 목록에 표시되고 사용할 수 있도록 양식을 다시 로드하십시오.

      경보 프로파일 구성에서 이러한 샘플 경보를 수집하면 값이 없는 보안 인시던트에 경보 필드를 매핑하는 것을 방지할 수 있습니다. 또한 경보 필드를 보안 인시던트의 적절한 필드에 값과 맞춥니다. 이 단계에서는 모든 중요 경보 필드가 매핑되고 보안 인시던트에 필드 값이 누락되지 않도록 합니다.

      매핑 프로세스에서 경보가 간과되거나 중복되지 않도록 경보 필드는 색상으로 구분됩니다. 연한 파란색 경보 필드(Account, AlarmRuleID, AlarmStatus 등)는 보안 인시던트에 매핑할 필드가 아직 선택되지 않았음을 나타냅니다.

      회색 필드(AlarmDate, AlarmID 및 AlarmRuleName)는 필드가 이미 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 경우에 따라 경보 필드가 보안 인시던트의 두 개 이상의 필드에 매핑될 수 있으므로 이 색상 코딩은 매핑을 추적하는 데 도움이 됩니다. 예를 들어 옵저버블작업 메모 필드에는 둘 이상의 값이 있을 수 있습니다.

    4. 샘플 알람 데이터를 지우려면 Clear Sample Alarm Data를 클릭합니다.
    5. 보안 인시던트의 기본 구성을 편집하려면 다음 단계에 따라 필드를 추가합니다.
      예시에서는 필드를 검색 및 추가하고 매핑하는 방법을 보여줍니다.
      1. 양식의 오른쪽 아래에 있는 더하기 아이콘을 클릭합니다.
        새 필드가 표시됩니다.
      2. 보안 인시던트 열의 선택 목록에서 사용 가능한 필드를 선택합니다.

        확장된 선택 목록에서 일부 필드는 음영 처리됩니다. 예를 들어 범주 의 회색 배경은 보안 인시던트에 매핑되었음을 나타냅니다. 경보 필드의 색상 코딩 LogRhythm 과 마찬가지로 보안 인시던트 필드에 대한 이 색상 코딩은 경보 필드의 값이 실수로 동일한 보안 인시던트 필드에 매핑되지 않도록 합니다.

        위 그림에서 경보 규칙 ${Alarm:classificationName}$ 은 이 프로파일의 보안 인시던트에 있는 범주 필드에 이미 매핑되어 있습니다.

        주:
        옵저버블 필드는 여러 옵저버블을 표시할 수 있도록 동일한 보안 인시던트의 보다 큼 필드에 매핑될 수 있습니다. 마찬가지로 구성 항목작업 메모 필드를 매핑하여 여러 값을 표시할 수 있습니다.

        양식의 경보 샘플 수집 쪽에서 파란색은 경보 규칙 필드가 매핑되지 않았음을 나타냅니다. 회색은 매핑되었음을 나타냅니다. 양식의 SIR 인시던트 필드 매핑 쪽에 있는 선택 목록에서 흰색은 필드가 매핑되지 않았음을 나타냅니다. 회색은 필드가 매핑되었음을 나타냅니다. 이 색상 코딩을 사용하면 필드 매핑을 추적하는 데 도움이 됩니다.

        위 그림에서는 영향을 받는 사용자가 선택 목록에서 보안 인시던트의 새 필드로 선택되었습니다.

      3. 양식 왼쪽에 있는 경보 샘플 수집 섹션에서 입력 식 필드에서 원하는 경보 ID를 마우스 왼쪽 버튼으로 클릭하여 선택합니다.

        위 그림에서는 로그인 이 선택되었습니다.

      4. 지워진 필드로 끌어다 놓습니다.
        SIR 인시던트 필드 매핑 섹션의 왼쪽 열에 영향을 받는 사용자 필드의 새 값이 표시됩니다. 이 경우 경보의 LogRhythm로그인 값이 보안 인시던트의 영향을 받는 사용자 필드에 표시됩니다.
    6. 또는 입력 표현식(Input Expression) 열의 필드 값을 수동으로 입력하려면 입력 표현식(Input Expression) 필드에 커서를 놓고 원하는 경보 값을 입력합니다.

      예를 들어 위 그림에서는 다른 필드(할당 그룹)가 보안 인시던트 양식에 추가되어 있고 이 필드에는 보안 인시던트 할당 이 수동으로 입력되어 있습니다.

    7. 필요에 따라 미리 구성된 매핑을 계속 편집합니다.
      경보 필드의 LogRhythm 값을 보안 인시던트의 필드에서 지원하는 값으로 변환해야 하는 경우 스크립트 편집기를 사용할 수 있습니다. 스크립트 편집기를 사용하여 값 서식 지정 LogRhythm 문서를 참조하십시오.

    다음에 수행할 작업

    필드 매핑을 완료한 후 다음 단계는 입니다 다음에 대한 경보 필터링 LogRhythm.