샘플 IBM QRadar 위반 수집

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 하나 이상의 선택한 IBM QRadar 규칙에 대한 샘플 위반을 수집할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 매핑 양식이 표시되지 않으면 진행률 표시줄에서 매핑 을 선택합니다.
    2. 세 가지 최신 샘플 위반을 가져오거나 매핑 환경에 사용할 특정 위반에 대한 고유 위반 ID를 제공할 수 있습니다.
      수집 기본 설정 선택 목록에서 다음 중 하나를 선택합니다.
      • 가장 최근의 위반 검색: 선택한 규칙에 대한 최근 위반 3개가 검색됩니다.
      • 위반 ID를 기준으로 위반 선택: 검색할 위반의 위반 ID를 지정합니다. 최대 3개의 위반 ID를 쉼표로 구분하여 지정할 수 있습니다.

      IBM QRadar: 프로파일 생성: 매핑: 기본값
    3. 선택한 위반 규칙에 대한 콘솔에서 IBM QRadar 최신 샘플 위반 데이터를 가져오려면 샘플 데이터 가져오기를 선택합니다.
      위반 필드 및 값 결과는 개별 탭으로 표시됩니다. 다음 세 가지 유형의 규칙에 의해 위반이 트리거될 수 있습니다.
      • 이벤트: 이 규칙에서는 이벤트 로그가 검사되고 지정된 기준이 충족되면 위반이 생성됩니다.
      • 흐름: 네트워크 데이터와 트래픽을 확인하고 특정 조건이 충족되면 위반이 생성됩니다.
      • 일반: 이 경우 이벤트 또는 플로우에 대한 조건을 지정할 수 있으며 조건 중 하나 또는 둘 모두 충족되면 위반이 생성됩니다.
      샘플 오펜스를 끌어당기는 데는 몇 분 정도 걸릴 수 있습니다. 트랜잭션이 작동하고 있음을 나타내는 메시지가 화면 위쪽에 표시됩니다. 위반을 트리거한 규칙에 따라 위반 필드와 함께 이벤트 또는 플로우 필드가 채워집니다.
      주:
      표시되는 이벤트 또는 플로우 필드는 해당 이벤트 또는 플로우 규칙에 따라 위반을 트리거한 첫 번째 이벤트 또는 플로우 필드에 속합니다.
    4. 다음은 이 통합에 대해 생성된 사용자 지정 위반 필드입니다.
      이러한 사용자 정의 필드 외에 표준 위반 필드를 맵핑에 사용할 수 있습니다.
      • rules_contributing_to_offense: IBM QRadar 규칙 ID를 기반으로 위반에 기여한 규칙입니다.
      • users: 위반에 대한 사용자 이름
      • remote_destination_ip: 공격에 대한 원격 대상 IP입니다.
        위반에 대한 로컬 대상 ID를 기준으로 다음과 같은 사용자 지정 로컬 대상 주소 필드를 사용할 수 있습니다.
        • local_destination_address(domain_id)
        • local_destination_address(event_flow_count)
        • local_destination_address(first_event_flow_seen)
        • local_destination_address(id)
        • local_destination_address(last_event_flow_seen)
        • local_destination_address(local_destination_address_ids)
        • local_destination_address(크기)
        • local_destination_address(네트워크)
        • local_destination_address(offense_ids)
        • local_destination_address(local_destination_ip)
      • 다음 소스 주소는 위반의 소스 ID를 기반으로 사용할 수 있습니다.
        • source_addresses(domain_id)
        • source_addresses(event_flow_count)
        • source_addresses(first_event_flow_seen)
        • source_addresses(id)
        • source_addresses(last_event_flow_seen)
        • source_addresses(source_address_ids)
        • source_addresses(크기)
        • source_addresses(네트워크)
        • source_addresses(offense_ids)
        • source_addresses(source_ip)

      추가 이벤트 및 플로우 필드 가져오기(선택 사항) 확인란을 선택합니다. 활성의 유효한 사용자 지정 이벤트 및 플로우 필드에서 샘플 이벤트 및 플로우 데이터를 가져올 수 있습니다. 아래와 같이 사용자 지정 필드를 쉼표로 구분하여 지정합니다.


      IBM QRadar: 프로파일 생성: 매핑: 사용자 지정

      샘플 데이터 가져오기를 선택합니다.

      샘플 데이터를 가져오면 이러한 필드에 해당하는 값이 양식 왼쪽에 채워집니다.

    다음에 수행할 작업

    샘플 데이터를 가져온 후 다음 단계는 위반 필드를 보안 인시던트에 매핑하는 것입니다.