통합에 대한 Splunk Enterprise Event Ingestion 보안 인시던트 미리 보기

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 2분

    • 매핑 단계를 완료한 후 (SIR) 보안 인시던트에서 ServiceNow AI Platform® 보안 인시던트 응답 매핑한 값을 미리 봅니다. 이 미리 보기 단계를 통해 보안 인시던트에 표시할 경보 필드를 모두 매핑했는지 확인할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    보안 인시던트를 미리 보고 필요에 따라 매핑을 다시 편집하여 오류가 있는 필드를 수정하거나 누락된 데이터를 채웁니다. 미리 보기가 성공적으로 완료되지 않으면 예약 단계로 진행할 수 없습니다. SIR 보안 인시던트 미리 보기는 제품에 실제 인시던트 SIR 로 저장되지 않습니다.

    프로시저

    1. 보안 인시던트 미리 보기가 표시되지 않으면 진행률 표시줄에서 미리 보기를 클릭합니다.
    2. 경고 이름을 선택한 다음 샘플 경고 ID 목록에서 항목을 선택합니다.
      경보 선택 선택 목록 확장됨.

      보안 인시던트가 표시됩니다. 필드의 정보를 변경하지 마십시오. 이 뷰는 읽기 전용 뷰이며 이 보안 인시던트의 기록은 저장되지 않습니다.

    3. 보안 인시던트에서 경보 값의 필드 매핑을 검토합니다.
      미리 보기의 보안 인시던트에 대한 오류 메시지입니다.

      앞의 이미지는 매핑 오류가 있는 미리 보기의 예입니다. 이 예시에서는 값에 대한 보안 인시던트의 필드가 없거나 매핑한 값을 지원하지 않습니다. 구성 항목 필드에 대한 입력 값을 찾을 수 없음을 나타내는 오류 메시지가 표시됩니다.

    4. 이 오류를 해결하려면 진행률 표시줄에서 매핑 을 클릭합니다.
    5. 매핑을 편집하여 잘못된 값을 수정하거나 누락된 데이터를 채웁니다.
    6. 매핑을 다시 미리 보고 오류 메시지에 설명된 오류를 계속 수정합니다.

      다음 그림은 모든 오류 메시지가 해결된 후 보안 인시던트 하단 절반 SIR 에 있는 인시던트 상세 정보 탭의 예입니다. 이 예에서는 설명 및 작업 메모 필드가 매핑되었으며, 이러한 필드는 콘솔에서 가져온 Splunk Enterprise 값 쌍의 값으로 채워집니다. 첫 번째 작업 메모 필드에는 값이 없습니다. 이 필드는 매핑 단계 동안 매핑 그리드에서 비어 있었습니다. 값이 있는 추가 작업 메모 필드는 매핑 단계 중에 매핑 그리드에 추가되었습니다.

      보안 인시던트 미리 보기의 작업 메모 및 설명 필드
    7. 오류를 수정하고 필드가 원하는 방식인지 확인한 후 계속하려면 하나의 옵션을 선택합니다.
      옵션설명
      계속하기 예약 양식은 예약된 경보가 있는 프로파일에 대해 표시됩니다.

      스케줄링 이 진행률 표시줄에서 선택됩니다.
      마침 수동 이벤트 전달이 구성된 프로필의 경우 마침을 클릭합니다. 요청 시 콘솔에서 직접 Splunk Enterprise 익스포트하는 이벤트 데이터가 있는 프로파일에 대한 예약 단계는 없습니다.
      업데이트 데이터가 저장되고 이벤트 프로파일 목록으로 돌아갑니다 Splunk .
      이전 진행률 표시줄에 매핑 단계가 표시됩니다.
      삭제 이 이벤트 프로파일을 삭제하면 Splunk 이벤트 프로파일 목록이 표시됩니다.

    다음에 수행할 작업

    오류 메시지가 표시되지 않고 보안 인시던트의 필드 매핑에 만족하는 경우 다음 단계는 수행 통합에 대한 Splunk Enterprise Event Ingestion 경보 예약 및 검색입니다.