스크립트 편집기를 사용하여 이벤트 수집 통합에 대한 경보 값의 Splunk Enterprise Security 서식을 지정합니다
수집된 중요 이벤트 값에서 직접 매핑된 필드와 수동으로 입력하는 값 외에도 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 서식을 지정합니다.
시작하기 전에
필요한 역할: sn_si.admin
이 태스크 정보
경우에 따라 중요 이벤트 값이 범주에 매핑되고, Splunk Enterprise Security 인시던트의 CI(구성 항목) 및 옵저버블 필드 SIR 가 지원되지 않습니다. 매핑된 값을 편집하는 것이 더 나을 수 있습니다. 중요 이벤트의 Splunk Enterprise Security 값을 보안 인시던트의 이러한 필드 SIR 에서 지원하는 값으로 변환하려면 스크립트 편집기를 사용하십시오.
프로시저
-
매핑 양식이 표시된 상태에서 링크를 클릭하여 스크립트 편집기를 엽니다.
-
또는 SIR 인시던트 필드 매핑 섹션에서 필드 옆에 있는 대괄호 아이콘 [{}] 을 클릭하여 해당 필드의 스크립트 편집기를 엽니다.
경우에 따라 스크립트 포함이 구성 항목 필드에 적합할 수 있습니다. 예를 들어 주목할 만한 이벤트의 경우 구성 항목의 값이 일치하지 않을 수 있습니다.
다음 그림과 같이 구성 항목 필드의 CMDB에서 Now Platform® 호스트 이름과 일치하는 항목을 찾을 수 없는 경우 IP 주소가 발견되면 구성 항목 필드가 채워지도록 규칙을 편집할 수 있습니다. 경보 값이 없으면 보안 인시던트의 필드가 null로 설정됩니다.
대상 필드에 필드가 표시된 상태로 편집기가 열립니다. 다음 이미지는 구성 항목 필드가 대상 필드인 편집기를 보여줍니다.