Comandos de pesquisa manual
Os comandos de pesquisa manual são inseridos em qualquer janela de pesquisa. Você pode criar um incidente ou evento de segurança. Após o comando, há pares de nomes de campo e valores usados para criar o registro desejado.
Evento de segurança
O comando do evento de segurança, snsecevent , cria um evento em ServiceNow Com a classificação de segurança.
Esses eventos podem ser revisados por conta própria ou regras de alerta dentro de ServiceNow ou ações manuais podem transformar um evento ou coleção de eventos em um incidente de segurança.
| Nome do parâmetro | Necessários | Uso | Usar no incidente de segurança |
|---|---|---|---|
| node | Sim | O nó representa o servidor ou o item de configuração do evento. O ideal é mapear esse nó para um IC existente no ServiceNow. | Usar no incidente de segurança |
| tipo | Sim | A categoria do evento. | Descrição resumida |
| recurso | Sim | O item de configuração. | Descrição resumida |
| fonte | Não | A origem desses dados. Por padrão, o servidor Splunk gera os dados. | Log de atividades |
| external_url | Não | O URL de detalhamento a ser usado em ServiceNow Para voltar aos dados do Splunk sobre este evento. Por padrão, este URL contém o link de resultado de qualquer alerta ou um link para a página de pesquisa padrão do Splunk. | URL externo acessado por Detalhamento Botão no formulário Incidente de segurança |
| time_of_event | Não | A hora em que o evento foi registrado no Splunk. | N/D |
| Todos os outros valores (categoria, subcategoria no exemplo) | Não | Qualquer campo que não faça parte do campo de informações no evento. Se um incidente de segurança for criado, ele será usado. | Se o campo existir e não estiver preenchido, o incidente de segurança usará esse valor. Por exemplo, a categoria passada pelo evento se torna a categoria do novo incidente de segurança. Se um campo com este nome não existir, o valor será colocado no log de atividades. |
Incidente de segurança
O comando Incidente de segurança, snsecicidente , Cria um Incidente de segurança no ServiceNow instância.
| Parâmetro | Necessários | Uso |
|---|---|---|
| short_description | Sim | Uma descrição resumida de uma linha do incidente. |
| categoria | Não | A categoria do incidente de segurança. Se esta categoria não existir, ela será criada. |
| subcategoria | Não | A subcategoria. Se esta subcategoria não existir, ela será criada. |
| cmdb_ci | Não | O item de configuração do incidente de segurança. O ideal é mapear este item para um IC existente no ServiceNow. |
| descrição | Não | A descrição mais longa e detalhada do incidente. |
Há muitas colunas úteis possíveis – qualquer coisa no Mapa de transformação de incidente de segurança pode ser usada. Se novas colunas forem adicionadas ao incidente de segurança, elas também serão usadas, desde que estejam no mapa de transformação. Algumas colunas úteis: Location, priority, assignment_group, assigned_to, affected_user, attack_vector e watch_list.