사용자 지정 필드 매핑 구성

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 3분

    • 필드 매핑을 사용하면 텍스트, CSV 또는 JSON과 같은 데이터 피드의 각 필드를 해석하고 해당 옵저버블에 할당하는 방법을 구성할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    프로시저

    1. 다음으로 이동 모두 > 작업 공간 > 위협 인텔리전스 보안 센터 > 통합.
    2. 선택 위협 인텔리전스 피드 > 모든 피드 > 텍스트.
    3. 새 소스 구성을 선택합니다.
    4. 필요에 따라 텍스트 피드 양식 상세 정보를 입력합니다.
      자세한 내용은 새 위협 인텔리전스 피드 구성 문서를 참조하십시오.
    5. 새 양식 뷰에서 구성 섹션의 데이터 구문 분석 메커니즘 필드로 드릴다운합니다.
      데이터 구문 분석 메커니즘에 대한 자세한 내용은 다음 문서를 참조하십시오 새 위협 인텔리전스 피드 구성.
    6. 사용자 지정 필드 매핑 옵션을 선택합니다.
    7. 필드 매핑 섹션으로 이동합니다.
    8. 구성을 선택하여 새 데이터 원본에 대한 필드 매핑을 추가합니다.
      이 섹션에는 샘플 데이터 추가, 필드 매핑 및 매핑된 샘플 기록 미리 보기와 같은 세 단계가 포함됩니다.
    9. 샘플 데이터를 추가하려면 샘플 데이터 로드를 선택합니다.
      선택한 옵션의 샘플 데이터가 표시되고 애플리케이션은 관련 데이터 행만 표시하고 #으로 시작하는 줄은 샘플 데이터에서 제외됩니다. 코멘트 식별자는 시스템 속성 sn_sec_tisc.feed_comment_identifiers로 수정할 수 있습니다.

      응용 프로그램은 샘플 파일(예: .txt, .csv 또는 .json)에서 또는 구성된 피드 URL( 세부 정보 섹션에 입력한 피드 URL 및 자격 증명)에서 직접 들어오는 데이터의 샘플을 가져옵니다. 이렇게 하면 필드 매핑을 정의하기 전에 데이터의 구조와 컨텐츠를 미리 볼 수 있습니다.

    10. 샘플 파일 업로드 또는 피드 URL의 피드 데이터를 선택합니다.
      이 샘플 데이터는 기본적으로 처음 10개의 기록을 가져오며, 검색할 이 총 기록 수는 시스템 속성 sn_sec_tisc.feed_field_mapping_sample_count로 수정할 수 있습니다.

      TISC - 필드 매핑 샘플 데이터를 추가합니다.

    11. 다음을 선택하여 필드 매핑을 구성합니다.
    12. 드롭 다운 목록에서 데이터 구문 분석을위한 구분 기호 설정 옵션을 선택합니다.
      텍스트 피드로 작업할 때 구분 기호는 데이터를 개별 필드로 올바르게 구문 분석하는 데 필수적입니다.
      이 시나리오에서 텍스트 피드는 파이프 연산자(|)를 구분 기호로 사용하여 샘플 텍스트 데이터의 각 값을 별개의 열로 구분합니다. 이 구분 기호를 올바르게 식별하고 적용하는 것은 정확한 필드 매핑과 성공적인 데이터 수집을 보장하는 데 필수적입니다.
      주:
      CSV 피드의 경우 쉼표(,)가 기본 구분 기호이며 JSON 피드에는 구분 기호가 필요하지 않습니다.
    13. 구분 기호 업데이트를 선택합니다.
      필드 매핑을 위한 필드를 추가하는 옵션이 표시됩니다.
    14. 드롭다운 목록에서 적절한 값을 선택하여 필드 매핑을 계속 추가합니다.
      TISC 필드 매핑 데이터 구분 기호
    15. 변환 스크립트를 사용하여 입력 값을 변환하고 표준화한 후 옵저버블에 매핑합니다.
      1. 변환 스크립트 사용/사용 안 함 아이콘을 선택하여 스크립트를 구성합니다.
        소스 필드에 대한 스크립트 구성 대화 상자가 표시됩니다.
      2. 소스 필드에 대한 스크립트 구성 대화 상자에서 변환 스크립트 사용 확인란을 선택합니다.
      3. 스크립트를 추가하거나 수정합니다.

        예를 들어 입력 필드에 낮음, 중간 또는 높음과 같은 값이 포함되어 있고 이러한 값을 숫자 신뢰도(0-100 사이)에 매핑하려는 경우 변환 스크립트를 사용하여 입력 값을 변환하고 옵저버블의 신뢰 도 필드에 매핑할 수 있습니다.

        TISC 필드 매핑 변환 스크립트
      4. 저장을 선택하여 업데이트된 대상 값을 가져오는 스크립트를 저장합니다.
      5. 소스 필드에 대한 스크립트 구성 대화 상자를 닫고 다음 단계를 진행합니다.
    16. 다음을 선택하여 미리 보기 섹션에서 필드 매핑을 미리 봅니다.
      TISC - 필드 매핑 미리 보기 샘플 데이터입니다.
    17. 샘플 필드 매핑을 미리 보고 저장을 선택합니다.
      필드 매핑이 성공적으로 저장되었음을 나타내는 확인 메시지가 표시됩니다.
      샘플 필드 매핑의 일부로 애플리케이션은 사용자가 샘플 데이터에서 매핑한 옵저버블 유형(예: IP 주소 v4 등)을 자동으로 식별합니다. 이 메커니즘은 매핑 프로세스를 간소화하고 입력에 따라 적절한 옵저버블 유형이 할당되도록 합니다.
      중요사항:
      필드 매핑 통합 실행: 이 피드 유형에 대해 수행된 모든 통합 실행은 저장된 필드 매핑 구성을 사용합니다. 이렇게 하면 들어오는 데이터가 일관되게 구문 분석되고 구성 중에 정의된 구조에 따라 올바른 옵저버블 속성에 매핑됩니다.
      주:
      필드 매핑 편집을 선택하여 필드 매핑을 편집하고 필요한 경우 변경합니다. 편집을 계속할 것인지 확인하는 경고 메시지가 표시됩니다. 프롬프트를 확인하고 예를 선택하여 계속합니다. 업데이트된 샘플 데이터를 사용하여 필드 매핑을 필요에 맞게 변경하고 변경 내용을 저장합니다.

      필드 매핑에 대한 모든 편집 내용은 이 피드에 대한 향후 통합 실행에 적용됩니다.

      통합을 실행하기 전에 올바른 구문 분석을 위해 항상 변경 후 샘플 데이터를 확인하십시오.