보안 인시던트 자동 생성
Splunk와 같은 타사 모니터링 도구를 통합하여 보안 인시던트 응답 해당 도구에서 가져온 보안 이벤트가 보안 인시던트를 자동으로 생성하도록 할 수 있습니다. 타사 도구에서 보안 경보로 데이터를 임포트할 수도 있습니다.
경보 모니터링 도구를 보안 인시던트 응답에 통합하려면 REST API 를 사용하여 보안 인시던트 임포트 [sn_si_incident_import] 테이블에 작성해야 합니다. 그런 다음 보안 인시던트 변환 변환 맵을 사용하여 임포트 세트 소스 테이블이 대상 보안 인시던트 [sn_si.incident] 테이블의 필드에 매핑됩니다.
변환 맵에서 인식되지 않는 CI 기록을 임포트하려고 시도하면 변환 맵 스크립트는 일치를 시도하면서 다음 순서에 대한 기록을 확인합니다.
- sys_id
- CI 이름
- 전체 주소 도메인 이름
- IP 주소
주:
보안 인시던트 변환 변환 맵이 사용 중인 외부 공급업체 경보 모니터링 도구에 적합하지 않은 것으로 확인되면 변환 맵을 복제하고 새로 만든 다음 필요한 경우 필드를 편집합니다.