위험 목록 구성 및 관리
위험 목록은 이벤트를 상호 연관시키고 보강하는 데 사용할 수 있습니다. IP 번호 또는 도메인과 같은 위험 목록의 각 요소에는 위험 점수와 위험 점수에 기여한 정보가 포함되어 있습니다.
기본 위험 목록
기록된 미래 앱은 5가지 기록된 미래 위험 목록과 함께 제공됩니다:
- IP 주소
- 도메인 이름
- URL
- 파일 해시
- 취약점(주로 CVE)
Fusion 액세스를 사용하면 사용자 지정 위험 목록으로 작업할 수 있습니다.
위험 목록 추가
위험 목록 추가를 클릭하여 추가 위험 목록을 다운로드할 수 있습니다. 다음 필드가 상단에 표시됩니다:
필드 | 중요성 | 설명 |
---|---|---|
이름 | Splunk 인스턴스 내의 위험 목록 이름입니다. | 조회 파일의 이름은 .csv입니다. |
위험 목록 카테고리 | 위험 목록에 포함된 엔티티의 유형입니다. | IP, 도메인, 해시, 취약점 또는 URL. |
퓨전 파일 | 퓨전 위험 목록으로 이동하는 경로입니다. | 조회로 사용되는 경우 경로는 압축되지 않은 CSV 파일로 저장된 정의된 Fusion 파일을 가리켜야 합니다. |
업데이트 간격 | 업데이트 확인에 사용되는 간격입니다. | 기본값은 업데이트된 버전이 출시되는 즉시 적용됩니다. |
새 위험 목록 구성을 완료했으면 저장을 클릭하여 새 구성을 저장합니다.
위험 목록 관리
구성된 모든 위험 목록은 구성 → 구성 → 위험 목록에 나열됩니다. 위험 목록 입력 목록은 사용자 지정 위험 목록이 맨 위에 표시되고 기본 구성이 맨 아래에 표시되도록 정렬됩니다. 기본 위험 목록 입력은 삭제할 수 없으며 비활성화할 수만 있습니다.
구성된 위험 목록을 편집하려면 편집을 클릭하면 필드의 잠금이 해제됩니다. 설정 편집을 완료하면 저장을 클릭합니다.
위험 목록을 제거하려면 해당 위험 목록 삭제 확인란을 선택하고 저장을 클릭합니다.
Splunk ES의 기록된 미래 앱에 대한 특별 고려 사항
Splunk용 기록된 미래 앱과 Splunk ES용 기록된 미래 앱 모두 동일한 기본 위험 목록 집합을 가져옵니다. 불필요한 크레딧 소비와 처리 부하를 방지하려면, 위험 목록은 Splunk ES용 기록된 미래 앱을 통해 액세스하고, Splunk ES용 기록된 미래 앱에서 비활성화하는 것이 좋습니다.
추가 도움말
"스플렁크용 레코디드 퓨처 앱"은 레코디드 퓨처에서 개발했습니다.
자세한 정보 및 지원은 지원 웹 사이트( support.recordedfuture.com)에서 확인할 수 있습니다.