통합을 위한 Splunk Enterprise Event Ingestion 경보 및 이벤트 매핑
예약된 경보 수집 또는 수동 이벤트 전달의 소스를 식별한 후 다음 단계는 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드에 Now Platform 보안 인시던트 응답 매핑하는 것입니다.
개요
매핑 단계에서는 sn_si.admin 역할을 가진 사용자가 콘솔에서 샘플 경보를 수집하거나 이벤트에 대한 Splunk Enterprise 이벤트 데이터를 익스포트합니다Splunk Enterprise.
다음 그림은 각 유형의 이벤트 프로파일에 제공되는 기본 매핑 그리드의 예입니다. 이 기본 매핑은 편집할 수 있습니다. 이렇게 수정하면 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 매핑 단계를 사용하면 이벤트 필드의 추가 또는 제거가 SIR 보안 인시던트 필드 값에 미치는 영향을 시각화할 수 있습니다.
경보 이름을 선택하고 샘플 데이터Splunk 가져오기를 클릭하면 프로파일에서 샘플 경보를 수집할 때 경보 필드 값이 양식 왼쪽에 채워집니다. Splunk 보안 인시던트 필드에 매핑하는 경보 필드입니다SIR.
전달된 이벤트에 Splunk 대한 첨부 파일 데이터를 로드하기 위해 클릭하면 양식 왼쪽에 이벤트 필드가 채워집니다. 보안 Splunk 인시던트 필드에 매핑되는 데이터 필드입니다 SIR .
콘솔에서 Splunk 필드 매핑 구성 단계를 수집하기 위해 몇 가지 샘플 경보를 검토하는 것이 좋습니다. 이 단계는 진행률 표시줄에 매핑 이라는 레이블이 지정됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
- 자동으로 수집된 경보 프로파일에 대한 샘플 데이터를 가져옵니다. 콘솔의 실행된 경보 Splunk Enterprise 에서 데이터를 가져오면(끌어오기) 사용 가능한 경보 필드와 해당 값이 매핑 양식의 왼쪽에 있는 기본 매핑 레이아웃에 표시됩니다. 끌어온 경보 ID의 값을 볼 수 있는 탭이 표시됩니다. 양식 왼쪽에 있는 경보 샘플 수집 섹션에서 모든 중요 필드가 양식 오른쪽의 그리드에 매핑되는지 확인합니다.
- 필요한 경우 수동으로 전달된 이벤트 프로파일에 대한 이벤트 샘플 데이터를 로드합니다. 이러한 이벤트에 대한 샘플 데이터는 콘솔에서 Splunk Enterprise.xml 파일로 내보내져 인스턴스로 로드됩니다Now Platform®. 임포트한 데이터는 양식 왼쪽의 경보 샘플 수집 섹션에 표시됩니다.
- 왼쪽에서 경보를 끌어서 오른쪽의 매핑 그리드에 놓아 매핑 구성을 편집합니다. 오른쪽의 매핑 그리드는 들어오는 경보 필드를 나가는 보안 인시던트 필드와 연결합니다.
- 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩을 사용하여 간과되거나 중복된 필드를 추적합니다.
- 애플리케이션에 수집 SIR 되는 경보와 필터링되는 경보를 지정할 수 있도록 필터 조건을 설정합니다.
- 중복 인시던트를 방지하기 위해 수신 경보를 기존 SIR 보안 인시던트로 집계하는 추가 인시던트 필드 기준을 정의합니다. 이 추가 필터링은 모든 관련 보안 이벤트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복된 보안 인시던트 수를 줄일 수 있습니다.
- 경우에 따라 엔터프라이즈 콘솔의 Splunk 이벤트 필드 값이 보안 인시던트의 필드로 직접 변환되지 않을 수 있습니다 SIR . 이러한 값의 경우, 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷할 수 있습니다. 스크립트 편집기는 비슷하지만 동일하지 않은 값의 서식을 지정하려면 스크립트 편집기를 사용합니다. 예를 들어 스크립트 편집기를 사용하면 콘솔의 Splunk 맬웨어 경고 및 바이러스 감염 필드 값이 모두 보안 인시던트의 범주 필드에 있는 악성 코드 활동으로 변환됩니다 SIR .
예약된 경보 프로파일
예약된 경보 프로파일을 생성한 후 구성에 대한 프로세스 흐름이 다음 그림에 표시됩니다.
수동 이벤트 전달 프로파일
이벤트에 대한 프로필을 생성한 후 구성에 대한 프로세스 흐름은 다음 그림과 같습니다.
다음 단계는 트리거된 경보를 수집하거나 데이터를 익스포트하고 값을 보안 인시던트 필드에 매핑하는 SIR 것입니다.