사용자 지정 필드 매핑 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 07월 21일
  • 소요 시간: 3분

    • 필드 매핑을 사용하면 텍스트, CSV 또는 JSON과 같은 데이터 피드의 각 필드가 해석되고 해당 옵저버블에 할당되는 방식을 구성할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_sec_tisc.admin

    프로시저

    1. 다음으로 이동 모두 > 작업 공간 > 위협 인텔리전스 보안 센터 > 통합.
    2. 선택 위협 인텔리전스 피드 > 모든 피드 > 텍스트.
    3. 새 소스 구성을 선택합니다.
    4. 필요에 따라 텍스트 피드 양식 상세 정보를 입력합니다.
      자세한 내용은 새 위협 인텔리전스 피드 구성 문서를 참조하십시오.
    5. 새 양식 뷰에서 구성 섹션 아래의 데이터 구문 분석 메커니즘 필드로 드릴다운합니다.
      데이터 구문 분석 메커니즘에 대한 자세한 내용은 다음 문서를 참조하십시오 새 위협 인텔리전스 피드 구성.
    6. 사용자 지정 필드 매핑 옵션을 선택합니다.
    7. 필드 매핑 섹션으로 이동합니다.
    8. 구성을 선택하여 새 데이터 소스에 대한 필드 매핑을 추가합니다.
      이 섹션에는 샘플 데이터 추가, 필드 매핑 및 매핑된 샘플 기록 미리 보기와 같은 세 단계가 포함되어 있습니다.
    9. 샘플 데이터를 추가하려면 샘플 데이터 로드를 선택합니다.
      선택한 옵션의 샘플 데이터가 표시되고, 애플리케이션에는 # 으로 시작하는 관련 데이터 행과 줄만 샘플 데이터에서 제외됩니다. 코멘트 식별자는 시스템 속성 sn_sec_tisc.feed_comment_identifiers를 사용하여 수정할 수 있습니다.

      애플리케이션은 샘플 파일(예: .txt, .csv 또는 .json)에서 또는 구성된 피드 URL( 상세 정보 섹션에 입력한 피드 URL 및 자격 증명)에서 직접 수신 데이터의 샘플을 가져옵니다. 이렇게 하면 필드 매핑을 정의하기 전에 데이터의 구조와 내용을 미리 볼 수 있습니다.

    10. 샘플 파일 업로드 또는 피드 URL에서 피드 데이터를 선택합니다.
      이 샘플 데이터는 기본적으로 처음 10개 기록을 가져옵니다. 검색할 기록의 총 수는 시스템 속성 sn_sec_tisc.feed_field_mapping_sample_count로 수정할 수 있습니다.

      TISC - 샘플 데이터를 추가하는 필드 매핑.

    11. 다음을 선택하여 필드 매핑을 구성합니다.
    12. 드롭다운 목록에서 데이터 구문 분석을 위한 구분 기호 설정 옵션을 선택합니다.
      텍스트 피드로 작업할 때 구분 기호는 데이터를 개별 필드로 올바르게 구문 분석하는 데 필수적입니다.
      이 시나리오에서 텍스트 피드는 샘플 텍스트 데이터의 각 값을 고유한 열로 구분하는 구분 기호로 파이프 연산자(|)를 사용합니다. 정확한 필드 매핑과 성공적인 데이터 수집을 위해서는 이 구분 기호를 올바르게 식별하고 적용하는 것이 필수적입니다.
      주:
      CSV 피드의 경우 쉼표(,)가 기본 구분 기호이며 JSON 피드에는 구분 기호가 필요하지 않습니다.
    13. 구분 기호 업데이트를 선택합니다.
      필드 매핑을 위한 필드를 추가하는 옵션이 표시됩니다.
    14. 드롭다운 목록에서 적절한 값을 선택하여 필드 매핑을 추가합니다.
      TISC 필드 매핑 데이터 구분 기호
    15. 변환 스크립트를 사용하여 입력 값을 옵저버블에 매핑하기 전에 변환하고 정규화합니다.
      1. 스크립트를 구성하려면 변환 스크립트 활성화/비활성화 아이콘을 선택합니다.
        소스 필드에 대한 스크립트 구성 대화 상자가 표시됩니다.
      2. 소스 필드에 대한 스크립트 구성 대화 상자에서 변환 스크립트 사용 확인란을 선택합니다.
      3. 스크립트를 추가하거나 수정합니다.

        예를 들어 입력 필드에 낮음, 중간 또는 높음과 같은 값이 포함되어 있고 이러한 값을 숫자 신뢰도 수준(0-100 사이)에 매핑하려는 경우 변환 스크립트를 사용하여 입력 값을 변환하고 옵저버블의 신뢰도 필드에 매핑할 수 있습니다.

        TISC 필드 매핑 변환 스크립트
      4. 저장을 선택하여 스크립트를 저장하고 업데이트된 대상 값을 가져옵니다.
      5. 소스 필드에 대한 스크립트 구성 대화 상자를 닫고 다음 단계로 진행합니다.
    16. 다음을 선택하여 미리 보기 섹션에서 필드 매핑을 미리 봅니다.
      TISC - 필드 매핑 미리 보기 샘플 데이터입니다.
    17. 샘플 필드 매핑을 미리 보고 저장을 선택합니다.
      필드 매핑이 성공적으로 저장되었음을 나타내는 확인 메시지가 표시됩니다.
      샘플 필드 매핑의 일부로 애플리케이션은 사용자가 샘플 데이터에서 매핑한 옵저버블 유형(예: IP 주소 v4 등)을 자동으로 식별합니다. 이 메커니즘은 매핑 프로세스를 간소화하고 입력에 따라 적절한 옵저버블 유형이 할당되도록 합니다.
      중요사항:
      필드 매핑 통합 실행: 이 피드 유형에 대해 수행된 모든 통합 실행은 저장된 필드 매핑 구성을 사용합니다. 이렇게 하면 구성 중에 정의된 구조를 기반으로 들어오는 데이터가 일관되게 구문 분석되고 올바른 옵저버블 속성에 매핑됩니다.
      주:
      필요한 경우 필드 매핑을 편집하고 필요에 따라 변경하려면 필드 매핑 편집 을 선택합니다. 편집을 계속할 것인지 확인하는 경고 메시지가 표시됩니다. 프롬프트를 확인하고 예를 선택하여 계속합니다. 업데이트된 샘플 데이터를 사용하여 필드 매핑에 필요한 변경 사항을 적용하고 변경 내용을 저장합니다.

      필드 매핑에 대한 편집 내용은 이 피드에 대한 향후 통합 실행에 적용됩니다.

      통합을 실행하기 전에 변경 후 항상 샘플 데이터를 검증하여 구문 분석이 올바른지 확인하십시오.