다중 기록, 사용자 지정 필드 Splunk 경보 예시
사용자 지정 필드를 사용하여 여러 기록 Splunk 경보를 생성하는 경우 경보 데이터를 생성하기 위한 검색 기준을 정의해야 합니다. 보안 인시던트 및 보안 이벤트에 대한 검색 기준의 예가 표시됩니다.
보안 인시던트 검색
보안 인시던트의 경우 이 기준은 보안 인시던트 테이블의 열을 채우는 검색을 빌드합니다.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip보안 이벤트 검색
보안 이벤트의 경우 이는 동일한 검색이지만 대신 이벤트 필드를 채웁니다. 이 이벤트가 보안 인시던트로 전환되고 이벤트에 존재하지 않는 필드가 채워지면 보안 인시던트로 이전됩니다. 그렇지 않으면 이벤트 및 경보의 추가 정보 필드에 남아 있습니다.
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" |
eval node=host |
eval source=source
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip 주:
사용하는 검색 기준은 검색에서 발견되는 만큼 기록을 추가합니다. 5개 또는 10,000,000,000개의 기록을 추가할 수 있습니다. 따라서 이것은 데이터의 대량 전송에 권장되는 방법이 아닙니다. 이 메서드의 의도는 ServiceNow 인스턴스에 REST 호출당 하나의 기록을 추가하는 것입니다.