Verwenden Sie den Skript-Editor, um Warnungswerte für die Splunk Enterprise Event Ingestion -Integration zu formatieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie den Skript-Editor, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren.

    Vorbereitungen

    Zusätzlich zu den direkt zugeordneten Feldern aus den abgerufenen Warnungswerten und den manuell eingegebenen Warnungswerten können Sie optional den Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Der Skript-Editor ändert die Werte einer Splunk -Warnung, sodass Werte, die vom Now Platform® Security Incident Response -Security Incident unterstützt werden, den Feldern „Kategorie“, „Configuration Item (CI)“ und „Erkennbares Element“ zugeordnet werden.

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    In bestimmten Fällen werden die Warnungswerte Splunk Enterprise den Feldern „Kategorie“, „Configuration Item (CI)“ und „Erkennbares Element“ im Incident SIR zugeordnet und nicht unterstützt. Möglicherweise möchten Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert einer Warnung Splunk Enterprise in einen Wert übersetzen möchten, der von diesen Feldern im Security Incident SIR unterstützt wird, verwenden Sie den Skript-Editor.

    Prozedur

    1. Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skript-Editor zu öffnen.
      Klicken Sie hier, um den hervorgehobenen Skript-Editor anzuzeigen.
    2. Wählen Sie in der Auswahlliste ein Zielfeld für den Wert aus, den Sie bearbeiten möchten.
    3. Alternativ können Sie im Abschnitt SIR-Incident-Feldzuordnung auf das Klammersymbol [{}] neben einem Feld klicken, um den Skript-Editor für dieses Feld zu öffnen.

      In bestimmten Fällen kann eine Skripteinbindung für das Feld Configuration Item geeignet sein. Bei einer Warnung stimmt beispielsweise ein Wert für das Konfigurationselement möglicherweise nicht überein.

      Wie in der folgenden Abbildung dargestellt, können Sie, wenn im Now Platform® CMBD für das Feld „Konfigurationselement“ keine Übereinstimmung mit einem Hostnamen gefunden wird, die Regel so bearbeiten, dass das Feld „Konfigurationselement“ ausgefüllt wird, wenn eine IP-Adresse gefunden wird. Wenn für den Alarm kein Wert vorhanden ist, wird das Feld im Security Incident auf null gesetzt.

      Der Editor wird geöffnet, und das Feld wird in Zielfeld angezeigt. Die folgende Abbildung zeigt den Editor mit dem Feld Configuration Item als Zielfeld.
      Skript-Editor.
    4. Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um Ihre Änderungen zu speichern.
      Die Tabelle Splunk „ Feldübersetzungen“ wird angezeigt.
    5. Schließen Sie die Tabelle, um zum Formular „Zuordnung“ zurückzukehren.