Splunk Enterprise Security イベントの取り込み統合でのスクリプトエディターを使用したアラート値のフォーマット
取り込まれた注目イベント値と手動で入力した値から直接マッピングされたフィールドに加えて、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットします。
始める前に
必要なロール:sn_si.ingestion_profile_admin
注:
sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミンが利用できるすべての操作を実行できます。
このタスクについて
場合によっては、Splunk Enterprise Security 注目イベント値は、SIR インシデントの [カテゴリ]、[構成アイテム (CI)]、および [観測事象] フィールドにマップされ、サポートされません。マッピングされた値を編集することもできます。Splunk Enterprise Security 注目イベントの値を SIR セキュリティインシデントのこれらのフィールドでサポートされている値に変換する場合は、スクリプトエディターを使用します。
手順
-
[マッピング] フォームを表示した状態で、リンクをクリックしてスクリプトエディターを開きます。
-
または、[SIR インシデントフィールドマッピング] セクションで、フィールドの横にある角かっこアイコン [{}] をクリックして、そのフィールドのスクリプトエディターを開きます。
場合によっては、 [構成アイテム] フィールドにスクリプトインクルードが適している場合があります。たとえば、注目イベントの場合、構成アイテムの値が一致しない可能性があります。
次の図に示すように、[構成アイテム] フィールドの ServiceNow AI Platform® CMDB で一致するホスト名が見つからない場合は、IP アドレスが見つかった場合に [構成アイテム] フィールドに入力されるようにルールを編集できます。アラームの値がない場合、セキュリティインシデントのフィールドは null に設定されます。
エディターが開き、[宛先フィールド] にフィールドが表示されます。次の画像は、[構成アイテム] フィールドを [宛先フィールド] に設定したエディターを示しています。