수동 검색 명령
수동 검색 명령은 모든 검색 창에서 입력됩니다. 보안 인시던트나 이벤트를 생성할 수 있습니다. 명령 뒤에는 원하는 기록을 생성하는 데 사용되는 필드 이름과 값 쌍이 있습니다.
보안 이벤트
보안 이벤트 명령 snsecevent는 보안 분류를 사용하여 이벤트를 ServiceNow 생성합니다.
이러한 이벤트는 자체적으로 검토하거나, 내부의 ServiceNow 경보 규칙 또는 수동 동작으로 이벤트 또는 이벤트 모음을 보안 인시던트로 전환할 수 있습니다.
이벤트가 보안 인시던트가 되고 각 매개변수가 이벤트로 전송되는 경우 이 데이터를 사용하여 다음과 같이 보안 인시던트를 채웁니다.
| 매개변수 이름 | 필수 | 사용 | 보안 인시던트에서 사용 |
|---|---|---|---|
| 노드 | 예 | 노드는 이벤트에 대한 서버 또는 구성 항목을 나타냅니다. 이상적으로 이 노드는 내의 기존 CI ServiceNow에 매핑됩니다. | 보안 인시던트에서 사용 |
| 유형 | 예 | 이벤트의 범주입니다. | 간단한 설명 |
| 자원 | 예 | 구성 항목입니다. | 간단한 설명 |
| 소스 | 아니요 | 이 데이터의 출처입니다. 기본적으로 Splunk 서버는 데이터를 생성합니다. | 활동 로그 |
| external_url | 아니요 | 이 이벤트와 관련된 Splunk 데이터로 다시 이동하는 데 사용할 ServiceNow 드릴다운 URL입니다. 기본적으로 이 URL에는 경보에 대한 결과 링크 또는 기본 Splunk 검색 페이지에 대한 링크가 포함되어 있습니다. | 보안 인시던트 양식의 드릴다운 버튼을 통해 액세스하는 외부 URL |
| time_of_event | 아니요 | 이벤트가 Splunk에 로그된 시간입니다. | 해당 사항 없음 |
| 기타 모든 값(이 예시의 범주, 하위 범주) | 아니요 | 이벤트의 정보 필드에 속하지 않는 모든 필드 보안 인시던트가 생성되면 이를 사용합니다. | 필드가 있는데 채워지지 않은 경우 보안 인시던트에서 해당 값을 사용합니다. 예를 들어 이벤트를 통과한 범주는 새 보안 인시던트의 범주가 됩니다. 이 이름의 필드가 없으면 활동 로그에 값이 저장됩니다. |
보안 인시던트
보안 인시던트 명령인 snsecincident가 인스턴스에 보안 인시던트 ServiceNow 를 생성합니다.
| 매개변수 | 필수 | 사용 |
|---|---|---|
| short_description | 예 | 인시던트에 대한 짧은 한 줄 설명입니다. |
| 범주 | 아니요 | 보안 인시던트의 범주입니다. 이 범주가 없으면 새로 만들어집니다. |
| 하위 범주 | 아니요 | 하위 범주입니다. 이 하위 범주가 없으면 새로 만들어집니다. |
| cmdb_ci | 아니요 | 보안 인시던트의 구성 항목입니다. 이상적으로 이 항목은 . 내의 기존 CI ServiceNow에 매핑됩니다. |
| 설명 | 아니요 | 인시던트에 대한 더 길고 자세한 설명입니다. |
유용한 열이 많이 있습니다. 보안 인시던트 변환 맵의 모든 항목을 사용할 수 있습니다. 새 열이 보안 인시던트에 추가되면 변환 맵에 있는 한 해당 열도 사용됩니다. 몇 가지 유용한 열: 위치, 우선 순위, assignment_group, assigned_to, affected_user, attack_vector 및 watch_list.