>

적응 및 조정: 대시보드 조정

대시보드 수정

상관관계 대시보드와 같은 기록된 미래 대시보드 중 일부는 쉽게 수정할 수 있습니다. 기존 대시보드의 복제본을 수정하고 기본 대시보드는 변경하지 않은 채로 두는 것이 좋습니다.

수정하는 가장 일반적인 이유는 상관관계 검색에 다른 데이터를 사용하기 위한 것이므로 아래에 자세히 설명되어 있습니다.

대시보드 복제

오른쪽 위 모서리에 있는 ...을 클릭하고 복제를 선택하여 현재 대시보드를 복제합니다.

복제 메뉴

대시보드의 새 제목과 이름을 입력합니다.

복제 대시보드

비공개 옵션을 선택하면 현재 사용자만 새 대시보드에 액세스할 수 있습니다. 대시보드 복제를 클릭한 다음 보기를 클릭하여 새 대시보드를 확인합니다. 수정 사항을 추가하려면 수정을 클릭합니다.

사용자 지정

소스 버튼을 클릭하여 소스를 표시합니다.
XML을 표시합니다. 아래 이미지에서 강조 표시된 다음 세 가지 필드, 소스 유형, 이름위험 목록에 주목하세요:

소스 유형 및 조회 테이블
  • 소스 유형은 Splunk 서버에 저장되는 로그의 소스 유형을 선택합니다.
  • 이름은 데이터 상관 관계에 사용할 필드의 이름을 지정합니다. 스크린샷은 일반적으로 로그에 대상 IP 주소가 포함된 'dst' 필드를 사용하는 대시보드의 모습을 보여줍니다.
  • inputlookup은 데이터를 상호 연관시킬 조회 테이블의 이름을 지정하며, 일반적으로 Splunk용 기록된 미래 앱의 입력 섹션에 구성된 위험 목록입니다.

이 예에서는 "ip_risklist.csv"로 설정되어 있습니다.

Splunk Explorer 대시보드. 는 Splunk 이벤트 데이터와 위험 목록의 상관 관계를 테스트하는 다양한 대안을 쉽게 테스트할 수 있는 방법입니다.

데이터 구조
IP 위험 목록의 형식은 다음과 같습니다.


이름,위험,위험 문자열,증거 세부 정보
46.18.32.101,66.0,2/47,"{"" 증거 세부 정보"" :[{"" 타임스탬프"" :"" 2016-11-02T16:26:00.000Z"" ,
""중요도"" :1,"" 규칙"" :"" 과거 다중 카테고리 블랙리스트"" ,"" 중요도라벨"" :"
 " 비정상"" ,"" 증거 문자열"" :"" 1개 소스에서 1건 목격: hpHosts 최신 추가 사항입니다. 가장 최근 
링크(2016년 11월 2일): hxxp://hosts-file.net/?s=doggytalk.be"" ,"" MitigationString"" :"" " " },
{"" 타임스탬프"" :"" 2018-04-15T12:34:28.869Z"" ,"" 크리티컬리티"" :3,"" 규칙"" :"" 피싱 호스트"" ,
" " 크리티컬리티레이블"" :"" 악성"" ,"" 증거 문자열"" :"" 1개 소스에서 1건 목격: PhishTank: 
피싱 보고서(확인된 피싱). 활성 피싱 1건의 호스트로 보고된 IP 주소 
URL: hxxp://letiz.be/uploads/bnz.html."" ,"" 완화 문자열"" :"" " " }]}"

형식은 표준 CSV이며 상관관계에 사용되는 필드는 '이름'으로, 모든 기본 기록된 미래 위험 목록에 대해 동일합니다.

이벤트 소스 유형에 IP 주소가 포함된 필드에 'dst' 대신 'dest'라는 이름이 있다고 가정하면, 이를 반영하기 위해 'eval Name=dst' 줄을 'eval Name=dest'로 업데이트해야 합니다. 사용자 지정 위험 목록에서 상관관계에 사용된 필드에 다른 이름을 사용하는 경우 대시보드의 모든 하위 검색도 새 필드 이름을 사용하도록 수정해야 하므로 추가 변경이 필요할 수 있습니다.

수정된 대시보드 찾기

대시보드는 기타 → 대시보드 아래에 표시됩니다. 보기에는 Splunk의 모든 애드온에 대한 모든 대시보드가 표시되지만, 이 앱'을 클릭하여 Recorded Future 앱과 관련된 대시보드만 표시되도록 제한할 수 있습니다.

추가 도움말

"스플렁크용 레코디드 퓨처 앱"은 레코디드 퓨처에서 개발했습니다.

자세한 정보 및 지원은 지원 웹 사이트( support.recordedfuture.com)에서 확인할 수 있습니다.