매핑된 LogRhythm 경보 값으로 보안 인시던트 미리 보기
매핑 단계를 완료한 후 보안 인시던트의 필드에 매핑한 값을 미리 확인합니다. 이 미리 보기 단계를 통해 보안 인시던트에 표시하려는 모든 중요 LogRhythm 경보 필드를 매핑했는지 확인할 수 있습니다.
필요한 역할: sn_si.admin
보안 인시던트
보안 인시던트 미리 보기가 표시되지 않으면 진행률 표시줄에서 미리 보기를 클릭합니다.
전체 Now Platform 보안 인시던트에 대한 미리 보기의 예가 다음 두 그림에 표시되어 있습니다. 보안 인시던트 미리 보기의 이 예는 샘플 경보 13663에서 매핑된 LogRhythm 경보 필드로 채워져 있습니다.
다음 그림에는 보안 인시던트의 구성 항목, 영향을 받는 사용자, 우선순위, 할당 그룹 및 간단한 설명 필드가 채워져 있습니다.
보안 인시던트 양식의 아래쪽 절반에는 설명 필드가 채워집니다. 관련 항목 섹션에서 구성 항목, 옵저버블 및 작업 메모 필드가 값으로 채워집니다. 이러한 필드에 대한 여러 값이 매핑된 경우 이러한 각 필드는 둘 이상의 값을 허용할 수 있으므로 각 값이 보안 인시던트에 표시됩니다.
미리 보기의 오류 조건
보안 인시던트를 미리 볼 때 다음과 같은 경고 메시지가 표시될 수 있습니다. 샘플 경보가 필터링 기준을 통과하지 못하면 전체 보안 인시던트가 채워지지 않습니다.
입력 값을 찾을 수 없습니다.
경보 ID가 필터링 조건에 포함된 경우 특정 매핑된 필드에 대한 특정 입력 값을 찾을 수 없는 경우 경고 메시지가 계속 표시될 수 있습니다. 다음 예시의 경우, 기록 미리 보기 시 할당 대상 필드에 매핑되기는 했지만 값이 없는 것으로 가정합니다.
이 유형의 메시지의 경우 매핑 기록에서 입력 값이 올바른지 확인합니다. 이 경우 보안 인시던트의 할당 대상 필드에 있는 사람이 인스턴스에서 Now Platform 올바르지 않습니다. 이 경보가 수집되고 이 조건으로 보안 인시던트를 생성하면 이 입력 값(Abel Tuter)이 있는 필드가 보안 인시던트에서 비어 있게 됩니다.
파란색으로 표시된 나머지 메시지는 정보 제공용이며 이러한 필드에 미리 보기에 표시할 값이 없음을 나타냅니다. 이 미리 보기를 통해 경보 프로필을 구성하는 보안 인시던트 관리자는 경우에 따라 보안 인시던트 필드가 나중에 자동으로 채워질 수 있으므로 초기 생성 단계에서 이러한 필드에 값이 없어야 하는지 확인할 수 있습니다. 다른 매핑 오류도 표시됩니다.
매핑 및 보안 인시던트 미리 보기가 만족스러우면 하나를 선택하여 구성을 계속합니다.
| 옵션 | 설명 |
|---|---|
| 진행률 표시줄에서 Continue(계속 ) 또는 Scheduling(예약 )을 클릭합니다. | Scheduling & Alarm Retrieval 양식으로 이동합니다. Scheduling & Alarm Retrieval(스케줄링 및 알람 검색 )이 진행률 표시줄에서 선택됩니다. 다음 단계는 경보 검색을 예약하는 것입니다. |
| 이전을 클릭합니다. | 경보 프로파일로 돌아가 매핑을 계속합니다. |
| 미리 보기 양식의 맨 위에 있는 샘플 경보 ID 선택 목록에 다른 경보 ID를 입력합니다. | 입력한 모든 경보 ID에 대해 샘플 경보 ID 선택 목록이 표시됩니다. 알람은 최대 5개까지 선택할 수 있습니다. 이 옵션을 사용하면 보안 인시던트의 다른 LogRhythm 경보 ID를 미리 볼 수 있습니다. |
보안 인시던트를 미리 보고 결과가 만족스러우면 다음 단계는 알람 예약 및 검색 LogRhythm입니다.