글로벌 맵 사용자 지정

글로벌 맵은 방화벽 로그를 기록된 향후 위험 목록과 연관시킬 때 일치하는 모든 IP 주소의 지리적 위치를 표시합니다.

로컬 소스 유형에 적응하기

검색 문의 필드 이름이 동시에 수정되는 한 소스 유형을 변경할 수 있습니다.

    sourcetype=netscreen:firewall earliest=-24h
 | eval Name=dst
 | eval Time=start_time
 | lookup default_ip_risklist.csv Name OUTPUT Risk, RiskString, EvidenceDetails
 | search Risk != "" 
 | eval RiskScore = Risk
 | eval Rule = spath(EvidenceDetails,"EvidenceDetails{}.Rule")
 | eval EvidenceString = spath(EvidenceDetails,"EvidenceDetails{}.EvidenceString")
 | search Risk != "" 
 | iplocation Name
 | fields + Name, Risk, lat, lon, City, Country
 | geostats count latfield=lat longfield=lon

검색은 현지 설정에 맞게 조정할 수 있습니다. 가장 일반적인 변경 사항은 검색의 처음 4행에 관한 것입니다:

• netscreen:firewall 값은 방화벽 로그의 소스 유형과 일치해야 합니다.
• 평가 이름=dst 문은 방화벽 로그에 있는 대상 IP 주소의 필드 이름과 일치해야 합니다.
• default_ip_risklist.csv 조회는 방화벽 로그와 연관시키려는 위험 목록의 이름과 일치해야 합니다.

다른 지도 위젯으로 사용자 지정

지도의 스타일은 leaflet_maps_app와 같은 시각화가 포함된 Splunk 앱을 추가로 설치하여 변경할 수 있습니다. 대시보드에서 편집을 클릭합니다:

시각화 선택을 클릭하여 맵의 새 테마를 선택합니다:

리플렛 테마 내에서 지도의 모습은 다음과 같습니다:

이것은 표준 Splunk 맵입니다:

활성 위협

첫 번째 행에는 기본 위험 목록의 각 카테고리의 현재 크기가 다음과 같이 표시됩니다:

• IP
• 도메인
• 해시
• 취약점
• URL

이 지도는 위험 목록의 IP 주소를 위치에 따라 정렬하고 상위 10개 국가와 연관된 이벤트에 의해 가장 많이 트리거된 기업별 상위 10개 위험 규칙을 원형 차트에 표시합니다.

추가 도움말

"스플렁크용 레코디드 퓨처 앱"은 레코디드 퓨처에서 개발했습니다.

자세한 정보 및 지원은 지원 웹 사이트( support.recordedfuture.com)에서 확인할 수 있습니다.