Security Operations 필드 매핑이 있는 테이블에 테이블 매핑

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • Security Operations 는 테이블을 다른 테이블에 매핑 Security Operations 할 수 있도록 더 세밀한 필드 매핑 세분성을 제공합니다.

    시작하기 전에

    필요한 역할: sec_cmn.write

    프로시저

    1. 다음으로 이동 모두 > Security Operations > 유틸리티 > 필드 매핑레이블이 표시됩니다.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 적절히 입력합니다.
      표 1. 필드 매핑
      필드 설명
      이름 필드 맵의 이름입니다.
      소스 테이블 대상 테이블에서 기록을 생성하는 데 사용할 데이터를 제공하는 테이블입니다.
      중복 규칙 중복 기록을 생성하는 원본 기록을 처리하는 방법을 관리합니다. 자세한 내용은 공유 데이터 변환 문서를 참조하십시오.
      대상 테이블 새 기록이 생성되는 테이블입니다.
      활성 매핑을 활성화하려면 이 확인란을 선택합니다.
      주:
      테이블 간 매핑은 한 번에 하나만 활성화할 수 있습니다. 두 맵에 동일한 테이블이 포함되어 있는 경우 이전 버전이 자동으로 비활성화됩니다.
      설명 필드 맵에 대한 설명입니다.
    4. 입력을 완료했으면 양식 헤더를 마우스 오른쪽 버튼으로 클릭하고 저장을 선택합니다.
      필드 매핑 필드 탭이 나타납니다. 이 기록은 이 필드 변환에 의해 생성된 기록의 대상 필드에 배치되는 데이터를 정의합니다.
      필드 매핑 양식
    5. 새로 만들기를 클릭합니다.
    6. 양식의 필드에 적절히 입력합니다.
      옵션설명
      필드 설명
      필드 또는 관련 목록에 값 저장 값을 찾을 위치를 선택합니다. 선택 항목은 다음과 같습니다.
      • 기록의 필드에 새 값 추가
      • 관련 목록에서 이 값에 연결
      • 이 값에 연결, 일치하는 기록이 없는 경우 기록 생성
        주:
        대상 테이블에 관련 목록이 없으면 이 필드가 표시되지 않습니다.
      필드 필드 또는 관련 목록에 값 저장기록의 필드에 새 값 추가로 설정된 경우 이 필드는 채울 필드를 지정합니다.
      주:

      선택 필드의 경우 기본 선택 레이블 또는 값을 사용하여 기존 선택 항목과 일치시킵니다. 일치하는 항목이 없으면 필드는 설정되지만 선택 목록에 새 항목이 추가되지 않습니다. 자세한 내용은 다음을 참조하십시오. 선택 목록.

      참조 필드의 경우 기록의 표시 이름과 일치하는 값 또는 유효한sys_id 찾은 경우에만 항목이 설정됩니다. 자세한 내용은 다음을 참조하십시오. 참조 필드.
      관련 목록

      필드 또는 관련 목록에 값 저장이관련 목록의 이 값에 연결 또는 이 값에 연결로 설정된 경우, 일치하는 기록이 없는 경우 새 기록 생성, 이 필드는 정보를 추가할 관련 목록을 지정합니다.
      값 필드

      필드 또는 관련 목록에 값 저장관련 목록의 이 값에 연결 또는 이 값에 연결로 설정되어 일치하는 기록이 없는 경우 새 기록 생성으로 설정된 경우, 이 필드는 관련 목록에 표시되는 테이블 내에서 기존 기록을 조회하고 찾는 데 사용되는 필드를 지정합니다. 예를 들어 관련 목록이 영향을 받는 CI인 경우 이 필드에는 이름 또는 전체 주소 도메인 이름이 포함될 수 있으며, CI를 조회하는 데 사용해야 하는 CI 기록의 다른 필드가 영향을 받는 CI 목록에 추가될 수 있습니다.
      관계 데이터

      필드 또는 관련 목록에 값 저장이관련 목록의 이 값에 링크로 설정된 경우 해당 기록(예: 보안 인시던트)을 값(CI, 옵저버블 등)에 연결하기 위한 새 기록이 생성됩니다. 이 필드는 해당 연결 기록에 추가해야 하는 추가 정보(필드 및 값 쌍)를 지정합니다. 예를 들어 소스 IP에 대한 옵저버블을 추가할 때 이 IP가 대상 IP가 아닌 소스임을 지정할 수 있습니다. 여러 값의 경우 ^ 구분 기호를 사용합니다(예: type= Source IP^active=true).
      새 기록 데이터 필드 또는 관련 목록의 값 저장이 값에 링크로 설정된 경우 일치하는 기록이 없으면 새 기록을 생성하고, 구문 분석된 값과 일치하는 관련 기록을 찾을 수 없으면 새 기록을 생성합니다. 이 필드는 해당 기록에 추가할 정적 데이터를 지정합니다. 예를 들어 영향을 받는 CI의 경우 CI를 찾을 수 없으면 이 설정은 새 CI가 생성되었음을 나타냅니다.) 소스 기록에 있는 값은 CI 기록의 필드로 설정됩니다. 이 CI가 생성된 이유를 나타내는 메모, 작업 중인 CI 유형에 대한 정보 등 추가 데이터를 설정할 수 있습니다. 샘플은 다음과 같습니다. description=Created by malware incident report^type=autodetect
      값 구분자

      필드 또는 관련 목록에 값 저장관련 목록의 이 값에 연결 또는 이 값에 대한 링크로 설정되어 일치하는 기록이 없는 경우 새 기록을 생성하면 이 필드는 항목 목록에 사용할 구분 기호(일반적으로 쉼표 또는 세미콜론)를 지정합니다.
      값 유형 필드 또는 관련 목록의 값 저장기록의 필드에 새 값 추가로 설정된 경우 이 필드는 값의 유형을 지정합니다. 선택 항목은 다음과 같습니다.
      • 소스 필드 기록
      • 새 라인으로 필드에 추가
      • 정적 값
      • 정적 값 더하기 소스 기록 필드 값
      소스 필드 대상 필드 또는 선택한 관련 목록 내에 배치할 값이 포함된 소스 필드를 선택합니다.
      정적 필드 필드의 정적 값입니다.
      값 변환 적용할 필드 값 변환 항목을 선택합니다. 예를 들어, 보안 인시던트에 대한 범주 선택 집합을 변경 요청에 적합한 유형 필드로 변환하는 등 레코드 간에 선택 필드를 매핑하는 데 사용됩니다.
      대상 테이블 대상 테이블로 자동으로 채워집니다.
      필드 매핑 상위 필드 맵으로 자동으로 채워집니다.
      소스 테이블 소스 테이블로 자동으로 채워집니다.
    7. 제출을 클릭합니다.