통합을 위한 Splunk Enterprise Event Ingestion 경보 및 이벤트 매핑
예약된 경보 수집 또는 수동 이벤트 전달을 위한 소스를 식별한 후 다음 단계는 개별 이벤트 필드를 (SIR) 보안 인시던트의 필드에 매핑하는 Now Platform 보안 인시던트 응답 것입니다.
개요
매핑 단계의 경우 sn_si.admin 역할을 가진 사용자는 콘솔에서 샘플 경보 Splunk Enterprise 를 수집하거나 이벤트에 대한 Splunk Enterprise 이벤트 데이터를 익스포트합니다.
다음 그림은 각 유형의 이벤트 프로파일에 대해 제공되는 기본 매핑 그리드의 예입니다. 이 기본 매핑은 편집할 수 있습니다. 이렇게 수정하면 보안 인시던트를 채우는 필드를 사용자 지정할 수 있습니다. 매핑 단계에서는 이벤트 필드를 추가하거나 제거하면 보안 인시던트 필드 값에 미치는 영향을 SIR 시각화할 수 있습니다.
경보 이름을 선택하고 샘플 데이터Splunk 가져오기를 클릭하면 프로파일에서 샘플 경보를 수집할 때 양식 왼쪽에 경보 필드 값이 채워집니다. Splunk 보안 인시던트 필드에 매핑되는 경보 필드입니다SIR.
전달된 이벤트에 Splunk 대한 첨부 파일 데이터를 로드하기 위해 클릭하면 양식 왼쪽에 이벤트 필드가 채워집니다. Splunk 보안 인시던트 필드에 매핑되는 데이터 필드입니다SIR.
필드 매핑 구성 단계에서 수집할 몇 가지 샘플 경보 Splunk 를 콘솔에서 검토하는 것을 선호할 수 있습니다. 이 단계는 진행률 표시줄에 매핑 이라고 표시됩니다. 이 페이지가 표시되지 않으면 진행률 표시줄에서 매핑 을 클릭합니다.
- 자동으로 수집된 경보 프로파일의 샘플 데이터를 가져옵니다. 콘솔에서 발생한 경보 Splunk Enterprise 에서 데이터를 가져오면(끌어오면) 사용 가능한 경보 필드와 해당 값이 매핑 양식의 왼쪽에 있는 기본 매핑 레이아웃에 표시됩니다. 끌어온 경보 ID의 값을 볼 수 있는 탭이 표시됩니다. 양식 왼쪽에 있는 경보 샘플 수집 섹션의 모든 중요 필드가 양식 오른쪽의 그리드에 매핑되는지 확인합니다.
- 필요한 경우 수동으로 전달된 이벤트 프로파일에 대한 이벤트 샘플 데이터를 로드합니다. 이러한 이벤트의 샘플 데이터는 콘솔에서 .xml 파일로 Splunk Enterprise 익스포트되어 인스턴스로 Now Platform® 로드됩니다. 임포트한 데이터는 양식 왼쪽의 경보 샘플 수집 섹션에 표시됩니다.
- 왼쪽에서 경보를 끌어서 오른쪽의 매핑 그리드에 놓아 매핑 구성을 편집합니다. 오른쪽의 매핑 그리드는 수신 경보 필드를 발신 보안 인시던트 필드와 연결합니다.
- 필드를 추가하거나 제거하여 매핑 그리드를 사용자 지정합니다. 제공된 색상 코딩으로 간과되거나 중복된 필드를 추적합니다.
- 애플리케이션에 수집할 SIR 경보와 필터링할 경보를 지정할 수 있도록 필터 조건을 설정합니다.
- 중복 인시던트를 방지하기 위해 수신 경보를 기존 SIR 보안 인시던트로 집계하는 추가 인시던트 필드 기준을 정의합니다. 이 추가 필터링은 모든 관련 보안 이벤트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.
- 경우에 따라 엔터프라이즈 콘솔의 Splunk 이벤트 필드 값이 보안 인시던트의 SIR 필드로 직접 변환되지 않을 수 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오. 예를 들어 스크립트 편집기를 사용하면 콘솔의 Splunk 맬웨어 경보 및 바이러스 감염 필드 값이 모두 보안 인시던트의 범주 필드에 SIR 있는 악성 코드 활동으로 변환됩니다.
예약된 경보 프로파일
예약된 경보 프로필을 만든 후 구성에 대한 프로세스 흐름이 다음 그림에 표시됩니다.
수동 이벤트 전달 프로파일
이벤트에 대한 프로필을 만든 후 구성에 대한 프로세스 흐름이 다음 그림에 표시됩니다.
다음 단계는 트리거된 경보를 수집하거나 데이터를 익스포트하고 값을 보안 인시던트 필드에 매핑하는 SIR 것입니다.