Splunk 탐색기 대시보드
Splunk 탐색기 대시보드는 기타 → Splunk 탐색기 대시보드에서 찾을 수 있습니다. 기록된 미래 위험 목록과 Splunk 이벤트의 하위 집합 간의 빠른 상관 관계를 수행하도록 설계되었습니다. 대시보드는 REST 호출을 사용하여 Splunk 앱 내의 조회 폴더에서 사용 가능한 모든 조회 파일을 찾습니다.
새로운 상관관계를 수행합니다:
- 첫 번째 드롭다운 메뉴에서 위험 목록을 선택합니다.
- 두 번째 드롭다운 메뉴에서 로컬 설치에서 지정한 사용 가능한 소스 유형 중 하나를 선택합니다.
- 세 번째 드롭다운 메뉴에 포함된 필드는 소스 유형에 따라 다릅니다. 필드를 선택하면 상관관계가 자동으로 시작됩니다.
다음 패널은 상관관계의 결과를 보여줍니다:
- 현재 엔티티 위험 목록 크기는 선택한 위험 목록의 항목 수를 표시합니다.
- 선택한 값이 있는 이벤트에는 지난 36시간 동안 선택한 소스 유형 및 필드를 포함하는 Splunk의 이벤트 수가 표시됩니다.
- 선택한 값의 향후 일치 횟수 기록에는 선택한 필드가 위험 목록의 한 항목과 일치하는 이벤트 수가 포함됩니다.
- 가장 활성화된 선택된 값은 선택한 필드 및 소스 유형에서 가장 자주 발생하는 값을 표시합니다.
- 선택한 값의 기록된 미래 일치 세부 정보 에는 위험 목록의 정보로 보강된 상관관계가 있는 일치 항목이 표시됩니다.
아래는 IP 주소 위험 목록과 방화벽 로그/dst를 소스 유형/필드로 결합한 Splunk Explorer 대시보드의 스크린샷 예시입니다. 여기서 dst는 일반적으로 대상 IP 주소를 나타냅니다.
Splunk Explorer 대시보드의 예
추가 도움말
"스플렁크용 레코디드 퓨처 앱"은 레코디드 퓨처에서 개발했습니다.
자세한 정보 및 지원은 지원 웹 사이트( support.recordedfuture.com)에서 확인할 수 있습니다.