스크립트 편집기를 사용하여 이벤트 수집 통합에 대한 경보 값의 Splunk Enterprise Security 서식을 지정합니다
수집된 중요 이벤트 값에서 직접 매핑된 필드와 수동으로 입력하는 값 외에도 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷합니다.
시작하기 전에
필요한 역할: sn_si.admin
이 태스크 정보
경우에 Splunk Enterprise Security 따라 중요 이벤트 값이 인시던트의 범주, CI(구성 항목) 및 옵저버블 필드에 SIR 매핑되지 않는 경우가 있습니다. 매핑된 값을 편집하는 것이 더 나을 수 있습니다. 중요 이벤트의 Splunk Enterprise Security 값을 보안 인시던트의 이러한 필드 SIR 에서 지원하는 값으로 변환하려면 스크립트 편집기를 사용합니다.
프로시저
-
매핑 양식이 표시되면 링크를 클릭하여 스크립트 편집기를 엽니다.
-
또는 SIR 인시던트 필드 매핑 섹션에서 필드 옆에 있는 대괄호 아이콘 [{}] 을 클릭하여 해당 필드의 스크립트 편집기를 엽니다.
경우에 따라 스크립트 포함이 구성 항목 필드에 적합할 수 있습니다. 예를 들어 중요한 이벤트의 경우 구성 항목의 값이 일치하지 않을 수 있습니다.
다음 그림에서 볼 수 있듯이 구성 항목 필드의 Now Platform® CMDB에서 호스트 이름과 일치하는 항목을 찾을 수 없는 경우 IP 주소가 발견되면 구성 항목 필드가 채워지도록 규칙을 편집할 수 있습니다. 경보 값이 없으면 보안 인시던트의 필드가 null로 설정됩니다.
대상 필드에 필드가 표시된 상태로 편집기가 열립니다. 다음 이미지는 구성 항목 필드가 대상 필드인 편집기를 보여줍니다.