() 전에 Now Platform 보안 인시던트 응답SIR수집된 주목할 만한 이벤트에서 보안 인시던트를 생성하면 경보의 필드 값이 보안 인시던트 레이아웃 Now Platform 에 표시되므로 실제 보안 인시던트가 생성되는 방법을 미리 볼 수 있습니다.

사용 가능한 API를 사용하는 통합 관점에서 주목할 만한 이벤트는 Splunk ES 개별적인 주목할 만한 이벤트로 개별적으로 수동으로 전달되거나 정의된 프로파일 유형에 따라 인스턴스 환경 Now Platform 으로 보안 운영 자동으로 수집됩니다.

예를 들어, 통합 워크플로우는 무단 액세스 시도 및 맬웨어와 같은 다양한 유형의 주목할 만한 이벤트를 수집합니다. 이러한 주목할 만한 이벤트는 인스턴스 환경에서 구성하는 프로파일을 기반으로 수집됩니다.보안 운영

모든 주목할 만한 항목은 처음에 프로파일에서 구성된 상관관계 검색 유형에 대해 수집됩니다. 그런 다음 수집된 주목할 만한 내용을 추가로 필터링하여 보안 인시던트를 생성하는 주목할 만한 주목할 만한 항목을 지정할 수 있습니다. 예를 들어 고위험으로 식별된 주목할 만한 이벤트에 대해서만 보안 인시던트를 생성하는 필터를 선호할 수 있습니다. 프로파일이 활성화되기 전에 수집된 주목할 만한 이벤트에서 보안 인시던트를 생성하면 주목할 만한 이벤트의 개별 필드 값이 미리 보기용으로 보안 인시던트 레이아웃의 해당 필드에 매핑됩니다.