Automatische Erstellung von Security Incidents
Überwachungstools von Drittanbietern wie Splunk können in Security Incident Response integriert werden, sodass aus diesen Tools importierte Sicherheits-Events automatisch Security Incidents generieren. Sie können auch Daten aus Tools von Drittanbietern in Sicherheitswarnungen importieren.
Um Warnungsüberwachungstools in Security Incident Responsezu integrieren, müssen Sie die REST-API verwenden, um in die Tabelle „Security Incident-Import“ [sn_si_incident_import] zu schreiben. Anschließend wird mithilfe der Transformationszuordnungen für Security Incidentsdie Import Set-Quelltabelle Feldern in der Zieltabelle „Security Incident“ [sn_si.incident] zugeordnet.
Wenn Sie versuchen, CI-Datensätze zu importieren, die von der Transformationszuordnung nicht erkannt werden, überprüft das Transformationszuordnungsskript den Datensatz auf Folgendes (in dieser Reihenfolge), um eine Übereinstimmung zu erzielen:
- sys_id
- CI-Name
- vollständig qualifizierter Domänenname
- IP-Adresse
Hinweis:
Wenn Sie feststellen, dass die Security Incident Transform -Transformationszuordnung für das von Ihnen verwendete Warnungsüberwachungstool einer Drittpartei nicht ausreicht, duplizieren Sie die Transformationszuordnung, erstellen Sie eine neue und bearbeiten Sie die Felder nach Bedarf.