경보 필드를 보안 인시던트 필드에 매핑 LogRhythm

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 개별 경보 필드를 보안 인시던트 필드에 매핑합니다. 미리 구성된 매핑을 편집할 수 있으며, 필드에 제공된 색상 코딩을 사용하면 이미 매핑한 경보를 모니터링하는 데 도움이 됩니다. 이 단계에서는 편집 내용이 보안 인시던트의 필드에 미치는 영향을 시각화하는 데 도움이 됩니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    경보에 LogRhythm 익숙하지 않은 경우 클라이언트 콘솔로 LogRhythm 이동하여 몇 가지 샘플 경보 ID를 검토합니다. 다음 예에서는 LogRhythm 경보 94689474 를 사용하여 경보를 보안 인시던트에 매핑했습니다.

    이 태스크 정보

    이 양식을 사용하여 왼쪽의 LogRhythm 경보 규칙을 오른쪽의 보안 인시던트 필드에 매핑합니다.

    다음 그림은 각 경보 프로파일에 대해 사전 구성된 경보의 기본 매핑을 보여줍니다. 이 기본 매핑은 편집할 수 있으며, 이 양식을 사용하여 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 이 매핑을 완료한 후에는 경보 필드를 추가하거나 제거하면 보안 인시던트의 필드 값에 잠재적으로 어떤 영향을 미칠 수 있는지 확인할 수 있습니다.

    다음 그림 LogRhythm 에서 이 양식의 왼쪽에는 경보 규칙이 요약되어 있습니다. 이러한 경보 규칙의 값은 양식 오른쪽에 있는 보안 인시던트 필드에 매핑됩니다.

    프로시저

    1. LogRhythm에 대한 경보 프로필을 생성한 후 진행률 표시줄에서 매핑을 클릭합니다.
    2. 경보 샘플 수집 필드에 최대 5개의 샘플 LogRhythm 경보 ID를 쉼표(9468,9474)로 구분하여 입력합니다.
      작업: 경보 프로필을 가져올 경보를 입력합니다.
    3. 경보 필드 옆에 있는 Pull Alarms(경보 가져오기)를 클릭합니다.

      샘플 알람을 가져오는 데 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 상단에 표시됩니다.

      샘플 경보 ID가 제출되고 서버에서 성공적으로 풀링 LogRhythm 되면 경보 필드와 해당 값이 탭에 표시됩니다.
      주:
      알람 ID를 성공적으로 가져온 Now Platform 후 다음 메시지가 반환될 수 있습니다. 다음 새 필드를 곧 필터링할 수 있습니다. 이러한 필드를 기준으로 필터링해야 하는 경우 몇 분 후에 이 프로파일을 다시 로드하십시오. itemspacketsin, itemspacketsout입니다.

      이 메시지는 풀링된 단일 경보에 Now Platform이전에 에서 처리하지 않은 필드 이름이 포함되어 있을 때 발생합니다. 이러한 필드는 매핑에 사용할 수 있지만 이 메시지가 표시되면 필터링 조건을 설정할 준비가 되었을 때 조건 작성기의 필터 선택 목록에 이러한 필드가 표시되고 사용할 수 있도록 양식을 다시 로드합니다.

      경보 프로파일 구성에서 이러한 샘플 경보를 수집하면 값이 포함되지 않은 보안 인시던트에 경보 필드를 매핑하는 것을 방지할 수 있습니다. 또한 경보 필드를 보안 인시던트의 적절한 필드에 값이 맞게 정렬합니다. 이 단계에서는 모든 중요 경보 필드가 매핑되고 보안 인시던트에 누락된 필드 값이 없는지 확인합니다.

      매핑 프로세스에서 경보가 간과되거나 중복되지 않도록 경보 필드는 색으로 구분됩니다. 연한 파란색 경보 필드(Account, AlarmRuleID, AlarmStatus 등)는 보안 인시던트에 매핑할 필드가 아직 선택되지 않았음을 나타냅니다.

      회색 필드(AlarmDate, AlarmIDAlarmRuleName)는 필드가 이미 선택되었으며 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 경우에 따라 경보 필드를 보안 인시던트의 둘 이상의 필드에 매핑할 수 있으므로 이 색상 코딩을 사용하면 매핑을 추적할 수 있습니다. 예를 들어, 옵저버블작업 메모 필드에는 둘 이상의 값이 있을 수 있습니다.

    4. 샘플 알람 데이터를 지우려면 Clear Sample Alarm Data(샘플 알람 데이터 지우기)를 클릭합니다.
    5. 보안 인시던트의 기본 구성을 편집하려면 다음 단계에 따라 필드를 추가합니다.
      예제는 필드를 검색하고 추가하고 매핑하는 방법을 보여줍니다.
      1. 양식의 오른쪽 아래에 있는 더하기 아이콘을 클릭합니다.
        새 필드가 표시됩니다.
      2. 보안 인시던트 열의 선택 목록에서 사용 가능한 필드를 선택합니다.

        확장된 선택 목록에서 일부 필드는 음영 처리됩니다. 예를 들어 범주 배경은 회색이며, 이는 범주 가 보안 인시던트에 매핑되었음을 나타냅니다. 경보 필드의 LogRhythm 색상 코딩과 유사하게 보안 인시던트 필드에 대한 이 색상 코딩은 경보 필드의 값이 동일한 보안 인시던트 필드에 실수로 매핑되지 않도록 해 줍니다.

        위 그림에서 경보 규칙 ${Alarm:classificationName}$ 은 이 프로필의 보안 인시던트에 있는 범주 필드에 이미 매핑되어 있습니다.

        주:
        옵저버블 필드는 여러 옵저버블을 표시할 수 있도록 동일한 보안 인시던트의 여러 필드에 매핑할 수 있습니다. 마찬가지로 구성 항목작업 메모 필드를 매핑하여 여러 값을 표시할 수 있습니다.

        양식의 경보 샘플 수집 측면에서 파란색은 경보 규칙 필드가 매핑되지 않았음을 나타냅니다. 회색은 매핑되었음을 나타냅니다. 양식의 SIR 인시던트 필드 매핑 측면에 있는 선택 목록에서 흰색은 필드가 매핑되지 않았음을 나타냅니다. 회색은 필드가 매핑되었음을 나타냅니다. 이 색상 코딩을 사용하면 필드 매핑을 추적하는 데 도움이 됩니다.

        위 그림에서는 영향을 받는 사용자가 보안 인시던트의 새 필드로 선택 목록에서 선택되었습니다.

      3. 양식 왼쪽에 있는 경보 샘플 수집 섹션에서 마우스 왼쪽 버튼을 클릭하여 입력 표현식 필드에 원하는 경보 ID를 선택합니다.

        위의 그림에서는 로그인 이 선택되었습니다.

      4. 선택 취소된 필드로 끌어다 놓습니다.
        SIR 인시던트 필드 매핑 섹션의 왼쪽 열에 영향을 받는 사용자 필드의 새 값이 표시됩니다. 이 경우 경보의 LogRhythm로그인 값이 보안 인시던트의 영향을 받는 사용자 필드에 표시됩니다.
    6. 또는 입력 표현식 열의 필드 값을 수동으로 입력하려면 입력 표현식 필드에 커서를 놓고 원하는 경보 값을 입력합니다.

      예를 들어 위 그림에서는 보안 인시던트 양식에 다른 필드(할당 그룹)가 추가되고 필드에 보안 인시던트 할당 이 수동으로 입력되었습니다.

    7. 필요에 따라 미리 구성된 매핑을 계속 편집합니다.
      경보 필드의 LogRhythm 값을 보안 인시던트의 필드에서 지원하는 값으로 변환해야 하는 경우 스크립트 편집기를 사용할 수 있습니다. 스크립트 편집기를 사용하여 값 형식 지정 LogRhythm 문서를 참조하십시오.

    다음에 수행할 작업

    필드 매핑을 완료한 후 다음 단계는 경보 필터링 대상 LogRhythm입니다.