중요 이벤트 인시던트 검토 및 기여 이벤트 상세 정보를 위한 Splunk ES 매핑 생성(수동 전달)
중요 이벤트 필드 매핑 단계에서는 중요 이벤트의 개별 이벤트 필드를 (SIR) 보안 인시던트의 ServiceNow AI Platform 보안 인시던트 응답 필드로 매핑합니다.
시작하기 전에
필요한 역할: sn_si.ingestion_profile_admin
주:
sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
이 태스크 정보
양식 왼쪽의 중요 이벤트 샘플 수집 열에서 최대 5개의 중요 이벤트를 오른쪽에 있는 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 매핑합니다.
양식 오른쪽의 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 매핑을 생성합니다. 일반적으로 SIR 인시던트 양식에 채워야 하는 중요한 필드인 기본 필드가 표시됩니다. 그러나 이러한 필드는 제거할 수 있으며 + 및 - 버튼을 사용하여 추가 필드를 표시할 수 있습니다. 양식 오른쪽에 있는 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 Splunk 할 SIR 수 있습니다.
프로시저
- 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
-
다음 단계에 따라 인스턴스에 첨부 파일 데이터를 업로드합니다 ServiceNow AI Platform® .
-
주목할 만한 이벤트를 확장하고 필드 열에서 임포트할 필드를 선택합니다.
이러한 필드는 익스포트되어 인스턴스의 ServiceNow AI Platform® 매핑 페이지에 표시되는 필드-값 쌍입니다.
-
익스포트를 클릭합니다.
이제 익스포트한 Splunk 주목할 만한 이벤트 XML 파일을 인스턴스 ServiceNow AI Platform® 에 업로드해야 합니다. -
주목할 만한 이벤트 샘플 수집 열에서 첨부 파일 데이터 로드를 클릭합니다.
-
주목할 만한 이벤트를 확장하고 필드 열에서 임포트할 필드를 선택합니다.
- 섹션의 주목할 만한 이벤트 매핑 5-10단계를 수행합니다.