Use o editor de scripts para formatar valores de evento de correlação para ArcSight ESMintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Além dos campos mapeados diretamente dos valores de evento de correlação ingeridos, use o editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    O editor de scripts muda os valores de um ArcSight ESMcampo de evento de correlação para que os valores compatíveis com Now Platform SIRO incidente de segurança é mapeado para os campos Categoria, Item de configuração (IC), Observável e outros campos de incidente de segurança.

    Em determinados casos, ArcSight ESMOs valores do evento de correlação são mapeados para campos de referência, como Categoria, Item de configuração (IC) e campos observáveis no incidente de segurança. Como um usuário com a função sn_si.admin, você pode preferir editar os valores do campo de evento mapeado para traduzir o formato ou os valores de dados para estar em conformidade com os formatos de campo de incidente e os valores esperados. Se você quiser traduzir o valor de a. ArcSight ESMevento de correlação com um valor compatível com esses campos no SIRincidente de segurança, use o editor de scripts.

    Procedimento

    1. Com o formulário de mapeamento exibido, clique no link para abrir o editor de scripts.
    2. Na lista de seleção, selecione um campo de destino para o valor que você deseja editar.
    3. Como alternativa, na seção Mapeamento de campo de incidente de SIR, clique no ícone de colchete [] ao lado de um campo para abrir o editor de script desse campo.

      Em determinadas instâncias, uma inclusão de script pode ser apropriada para o campo de item de configuração. Para um evento de correlação, por exemplo, um valor para o item de configuração pode não corresponder.

      Conforme mostrado na figura a seguir, se uma correspondência para um nome de host não puder ser encontrada no Now PlatformCMDB Para o campo Item de configuração, você pode editar a regra para que, se um endereço IP for encontrado, ele preencha o campo Item de configuração.

      O editor é aberto com o campo exibido em Campo de destino.
    4. Insira as mudanças no script e clique em Atualizar para salvar suas mudanças.
      . ArcSight ESMA tabela de traduções de campo é exibida.
    5. Feche a tabela para retornar ao formulário Mapeamento.