통합에 대한 Splunk Enterprise Event Ingestion 경보 매핑

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 9분

    • 이벤트 필드 매핑 단계에서는 트리거된 경보 또는 임포트된 이벤트 데이터의 개별 이벤트 필드를 (SIR) 보안 인시던트의 ServiceNow AI Platform 보안 인시던트 응답 필드에 매핑합니다.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    기본 보안 인시던트 필드의 미리 구성된 매핑 그리드를 편집할 수 있습니다. 이벤트 필드의 색상 코딩은 이미 매핑한 필드 값을 모니터링하는 데 도움이 됩니다. 이 단계는 편집 내용이 보안 인시던트의 필드에 미치는 영향을 시각화하는 데 도움이 됩니다.

    양식 왼쪽의 경보 샘플 수집 열에서 오른쪽에 있는 SIR 인시던트 필드 매핑 열의 보안 인시던트 필드에 최대 5개의 경보를 매핑합니다.

    양식 오른쪽의 매핑 그리드에서 필드를 추가하거나 제거하여 사용자 지정 맵을 생성합니다. 필드를 사용자 지정하면 보안 인시던트의 기본 매핑 그리드에 표시되지 않는 필드를 매핑 Splunk 할 수 있습니다 SIR .

    프로시저

    1. 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
    2. 예약된 경보가 있는 프로파일의 경우 경보 샘플 수집 아래에서 경보 이름 에서 경보를 선택하고 샘플 데이터 가져오기 를 클릭하여 발생한 경보 Splunk Enterprise 의 최신 인스턴스를 콘솔에서 끌어옵니다.

      경보는 탭으로 표시됩니다. 가장 최근의 경보를 최대 5개까지 수집할 수 있습니다.

      샘플 이벤트를 끌어오기에는 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동 중임을 나타내는 메시지가 화면 맨 위에 표시됩니다.

      주:
      추가 매핑 필드인 Splunk 경보 이름이 통합에 의해 추가되어 의 소스 경보 규칙에 Splunk이벤트를 추적할 수 있습니다. 이는 여러 Splunk 경보가 단일 프로파일로 결합되는 시나리오에서 유용할 수 있습니다.

      단일 필드에 여러 값이 포함되어 있으면 이러한 값이 구문 분석되어 SIR 인시던트 필드 매핑 섹션의 개별 필드 항목에 매핑됩니다. 예를 들어 소스 IP 주소, 자산 이름 또는 URL에는 여러 옵저버블 필드 항목 또는 여러 CI가 있을 수 있으며, 이러한 항목은 SIR 인시던트 필드 매핑 섹션의 개별 필드 항목에 구문 분석 및 매핑됩니다.

      다음 그림에서는 끌어오기가 완료된 후 수집된 경보 또는 임포트된 샘플 이벤트에 대한 필드 이름 값 쌍이 이 양식의 왼쪽에 표시됩니다. 이러한 값은 양식의 SIR 인시던트 필드 매핑 측면에 있는 보안 인시던트 필드에 매핑하는 값입니다.

      샘플 데이터 가져오기 및 수집된 경보 값이 강조 표시됩니다.
    3. 예약된 경보 프로파일의 경우 5단계로 진행하여 값을 매핑합니다.
    4. 또는 콘솔에서 익스포트 Splunk Enterprise 하려는 이벤트 유형의 프로파일의 경우 다음 단계에 따라 인스턴스에 첨부 파일 데이터를 ServiceNow AI Platform® 업로드합니다.
      1. 아직 로그인하지 않았다면 콘솔에 로그인하십시오 Splunk Enterprise .
      2. 검색 탭으로 이동하여 익스포트하려는 이벤트 데이터가 있는 검색의 이름을 입력합니다.

        예를 들어 맬웨어는 이 통합의 워크플로우와 함께 전달할 수 있는 모든 맬웨어 이벤트에 사용되는 검색어입니다.

      3. 이벤트를 확장하고 필드 열에서 임포트할 필드를 선택합니다.

        이러한 필드는 익스포트되어 인스턴스의 매핑 페이지에 ServiceNow AI Platform® 표시되는 필드-값 쌍입니다.

      4. Splunk Enterprise 콘솔의 검색 페이지 오른쪽 상단에서 익스포트 아이콘을 클릭합니다.
      5. 표시되는 대화 상자의 형식 필드 목록에서 XML 형식을 클릭합니다.
      6. 옵션: 새 파일 이름을 입력합니다.
      7. 익스포트를 클릭합니다.
        파일이 인스턴스에 다운로드 ServiceNow AI Platform® 됩니다.
      8. 인스턴스에 매핑 페이지가 아직 표시되어 ServiceNow AI Platform® 있지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
      9. 경보 샘플 수집 열에서 첨부 파일 데이터 로드를 클릭합니다.
        첨부 파일 데이터 로드 버튼이 강조 표시되어 있습니다.
      10. 표시되는 대화 상자에서 파일 선택을 클릭하고 내보낸 .xml 파일을 탐색한 다음 열기를 클릭합니다.
        이벤트에 대해 익스포트한 필드의 값 쌍이 매핑 양식의 왼쪽에 표시됩니다.

        다음 그림에서는 수집된 예약된 경보에 대한 데이터 쌍이 이 양식의 왼쪽에 표시됩니다. 임포트한 이벤트의 값 쌍도 양식의 이 쪽에 표시됩니다. 이러한 값은 양식의 인시던트 필드 매핑 측면에 있는 보안 인시던트 필드에 매핑하는 필드 값입니다.

    5. 양식 왼쪽의 필드 값을 양식 오른쪽에 있는 보안 인시던트의 필드에 매핑하려면 양식 왼쪽에 있는 파란색 필드 이름을 길게 클릭합니다.
    6. 필드 이름(예: 범주)을 끌어서 보안 인시던트 열의 필드 이름 옆에 있는 입력 식 열의 필드에 놓습니다.
      화살표로 표시된 값에 대한 끌어서 놓습니다.

      필드 값이 입력 식 열에 표시됩니다. 다음 이미지에서 범주 는 보안 인시던트의 범주 필드에 매핑되어 있습니다. 그러나 왼쪽의 모든 값을 오른쪽의 필드와 일치시킬 수 있습니다. 미리 보기 단계에서 보안 인시던트에 값이 올바르게 매핑되었는지 확인합니다.

      매핑 프로세스에서 이벤트가 간과되거나 중복되지 않도록 하기 위해 필드는 색으로 구분됩니다. 왼쪽의 연한 파란색 필드는 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 수신 경보 필드를 보안 인시던트의 둘 이상의 필드와 연결하는 것을 선호할 수 있습니다.

      회색 필드는 필드가 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이 색상 코딩은 경우에 따라 경보 이벤트 필드가 한 번만 할당될 수 있기 때문에 매핑을 추적하는 데 도움이 됩니다. 예를 들어 짧은 설명과 같은 필드에는 값을 한 번만 할당할 수 있습니다. 그러나 매핑 그리드에 행을 추가하여 작업 메모와 같은 목록 필드를 여러 번 할당할 수 있습니다.

      강조 표시된 보안 인시던트의 범주 필드 및 값입니다.
    7. 양식 오른쪽에 있는 보안 인시던트의 기본 매핑에 필드를 추가하려면 다음 단계를 수행합니다.
      1. 양식 오른쪽의 SIR 인시던트 필드 매핑 섹션 그리드 하단에서 더하기 아이콘을 클릭합니다.
        필드를 추가합니다.
        새 필드가 표시됩니다.
      2. 보안 인시던트 열에서 표시되는 목록을 확장하고 필드를 선택합니다.

        새 필드의 확장된 목록에서 일부 필드는 음영 처리됩니다. 다음 그림에서 범주 는 보안 인시던트에 매핑되었기 때문에 회색 배경입니다. 양식 왼쪽에 있는 경보 필드에 대한 색상 코딩과 비슷하게 오른쪽에 있는 보안 인시던트 필드에 대한 이 색상 코딩은 매핑을 추적하는 데 도움이 됩니다.

        새 필드의 선택 목록에 있는 위치 필드입니다.
        주:
        동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있도록 옵저버블 필드를 서로 다른 값으로 여러 번 매핑할 수 있습니다. 마찬가지로 구성 항목 및 작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 하면 인시던트를 미리 볼 때 필드에 값이 없다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 목록이 있고 목록에 표시되지 않은 해당 필드에 옵션을 매핑하려고 하면 보안 인시던트에 필드가 채워지지 않습니다.
      3. 또는 새 행의 검색 필드에 값을 입력합니다.
      4. 양식의 왼쪽에서 왼쪽 단추를 클릭하여 입력 식 필드에 넣을 경보 ID 를 선택합니다.
        끌기 기능을 사용하여 새 필드 옆에 매핑합니다.
    8. 필드를 추가 또는 제거하고 맵에 값을 추가하여 매핑을 계속합니다.
      다음 그림은 편집된 매핑 그리드의 예입니다. 오른쪽의 하단 필드에는 작업 메모 필드가 추가되며 둘 이상의 값이 있습니다. 값은 공백과 문장 부호로 구분됩니다(Category:${category} | destination IP:78.146.73.180).
      여러 값이 강조 표시된 작업 메모입니다.

      미리 보기에서 이러한 값은 보안 인시던트의 작업 메모에 표시됩니다. 값은 그리드에 추가한 필드에 대한 것이고 작업 메모 필드에 매핑된 값이 여러 개 있기 때문에 입력한 대로 값이 표시됩니다. 이 예에서는 필드에 입력한 공백과 구두점이 관련 항목 섹션에 보안 인시던트 미리 보기의 작업 메모로 표시됩니다.

      다음 이미지는 이전 이미지의 값이 보안 인시던트에 표시되는 방식의 예입니다.

      보안 인시던트에 표시되는 작업 메모 필드 값입니다.

      인시던트 생성 필터링 조건

    9. 옵션: 이전 필드 수준 매핑 단계를 완료한 후 필터 조건 작성기에서 동일한 필드 값을 사용하여 수신되는 경보가 충족해야 보안 인시던트를 생성할 수 있는 추가 기준을 정의할 수 있습니다 SIR .
      필터링 조건을 설정하려면 다음 단계를 수행합니다.
      1. 양식에서 인시던트 생성 조건 섹션으로 스크롤하고 조건을 기준으로 필터링 확인란을 선택하여 옵션을 활성화합니다.

        필터 조건 작성기가 표시됩니다. 이러한 필터를 사용하여 필드에 설명된 특정 조건과 일치하는 보안 인시던트를 생성합니다.

        필터 조건 작성기의 첫 번째 필드에 대한 목록의 옵션은 수집한 경보에 대한 경보 샘플 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 경보 또는 수동으로 전달하는 이벤트에 따라 Splunk 변경됩니다. 입력하는 기준은 대/소문자를 구분하며 경보 또는 이벤트의 값과 Splunk Enterprise 정확히 일치해야 합니다. 필터 필드에 입력할 값을 잘 모르는 경우에는 콘솔로 돌아가서 Splunk Enterprise 키워드에 대한 경보 및 이벤트를 검토하는 것이 좋습니다.

        필터 조건 작성기입니다.
      2. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
      3. 조건을 더 추가하려면 필드 오른쪽에서 AND 또는 OR을 클릭합니다.
        AND를 선택하면 모든 조건이 일치해야 합니다. OR을 선택하면 두 조건을 일치시킬 수 있습니다.
      4. 옵션: 두 번째 행에서 두 번째 필터 조건을 설정합니다.

        다음 이미지는 보안 인시던트가 생성되기 전에 일치해야 하는 두 가지 조건이 있는 예입니다.

        필터 조건 작성기입니다.

        입력한 두 필터링 조건이 일치하는 경우에만 보안 인시던트가 생성되도록 트리거 조건을 설정했습니다.

        이러한 유형의 필터링은 보안 이벤트를 격리하는 데 유용하며 생성하는 보안 인시던트 수를 제한합니다. 추가 필터링 기준이 설정되면 쿼리 또는 트리거된 경보 구성을 변경할 Splunk 필요 없이 필요한 경보만 수집됩니다.

        중복 인시던트를 방지하기 위한 경보 집계

    10. 옵션: 중복 보안 인시던트가 생성되지 않도록 하려면 수신 경보가 미해결 보안 인시던트로 집계되도록 추가 인시던트 필드 기준을 정의합니다.
      이 기준을 설정하려면 다음 단계를 수행합니다.
      1. 양식의 경보 집계 기준 섹션으로 스크롤하고 집계 조건 확인란을 선택하여 이 옵션을 활성화합니다.

        인시던트 필드 일치 값 열이 표시됩니다. 이러한 필드 이름은 보안 인시던트에 구성된 SIR 사용자 지정 필드를 포함하는 보안 인시던트의 필드입니다.

        집계 기준 슬러시버킷입니다.
      2. 사용 가능 목록에서 기존 보안 인시던트 ServiceNow AI Platform 와 일치시킬 필드 값을 선택하고 선택됨 목록으로 이동합니다.

        이 수신 경보를 기존 보안 인시던트에 추가하려면 선택하는 모든 필드 값이 일치해야 합니다. 이 기준에 사용할 보안 인시던트의 필드 값을 검토하려면 다음으로 이동하십시오. 인시던트 > 모든 인시던트 표시.

        새 경보가 매핑 단계의 집계 필드 조건에서 선택한 모든 값과 일치하면 가장 최근에 열린 보안 인시던트에 동일한 필드 값으로 경보가 자동으로 추가됩니다. 보안 인시던트를 담당하는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계 경보를 볼 수 있습니다. 보안 인시던트에 대해 집계된 모든 경보는 작업에 대한 이벤트 관련 목록에 표시됩니다 Splunk . 이 목록에는 관련 타임스탬프 및 집계된 필드 값이 자세히 설명되어 있습니다. 이 정보는 기존 보안 인시던트에 경보가 추가되는 이유를 이해하는 데 도움이 됩니다. 이 탭이 표시되지 않으면 관련 링크 아래에 있는 기록의 왼쪽으로 스크롤하여 모든 관련 목록 표시 링크를 클릭합니다.

        작업 관련 목록에 대한 Splunk 이벤트가 강조 표시됩니다.
      3. 옵션: 보안 인시던트에 최근에 추가된 새 경보에 대한 작업 메모를 기록하려면 이 확인란을 선택하여 이 옵션을 활성화합니다.
        작업 메모는 경보 상세 정보에 대한 링크와 함께 새 경보가 추가되었음을 기록합니다.
      경보 또는 이벤트의 값을 Splunk 보안 인시던트의 SIR 필드에 매핑했습니다. 또한 필터링 기준을 사용하여 보안 인시던트 생성을 제한하는 추가 조건을 구성했습니다. 또한 기존 SIR 보안 인시던트에 경보 또는 이벤트를 추가했습니다.
    11. 옵션: 스크립트 편집기를 열고 계속 편집합니다.

      스크립트 편집기에 대한 자세한 내용은 문서를 참조하십시오 스크립트 편집기를 사용하여 통합에 대한 경보 값의 서식을 Splunk Enterprise Event Ingestion 지정합니다.

    12. 하나를 선택하여 프로파일 구성을 계속합니다.
      옵션설명
         
      계속하기 매핑 양식이 표시됩니다.

      진행률 표시줄에서 미리 보기가 선택됩니다. 다음 단계는 보안 인시던트에서 SIR 매핑한 필드를 미리 보는 것입니다.
      업데이트 데이터가 저장되고 Splunk 이벤트 프로파일 목록이 표시됩니다.
      이전 경보 선택 양식이 표시됩니다.
      삭제 이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    다음 단계는 보안 인시던트에 매핑한 값을 미리 보는 것입니다.