Verwenden Sie den Skript-Editor zum Formatieren von LogRhythm -Werten

Freigeben Version: Xanadu

Aktualisiert 1. August 2024

2 Minuten Lesedauer

Zusätzlich zu den direkt zugeordneten Feldern aus den abgerufenen Alarmwerten und den manuell eingegebenen Alarmwerten können Sie den Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Dies ist optional.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Der Skript-Editor ändert die Werte eines LogRhythm -Alarms, sodass die Werte unterstützt werden, die den Feldern Priorität und Kategorie im Security Incident zugeordnet sind.

Warum und wann dieser Vorgang ausgeführt wird

In bestimmten Fällen, wenn die Alarmwerte LogRhythm den Feldern Priorität und Kategorie im Security Incident zugeordnet sind, können Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert eines LogRhythm -Alarms in einen Wert übersetzen möchten, der von den Feldern Priorität oder Kategorie im Security Incident unterstützt wird, verwenden Sie den Skript-Editor.

Prozedur

Klicken Sie bei angezeigtem Zuordnungsformular im Abschnitt „SIR-Incident-Feldzuordnung“ auf das Klammersymbol [{}], um den Skript-Editor zu öffnen.

Die Standardwerte sind für die Felder Priorität und Kategorie im Security Incident enthalten. Sie können diese Werte bearbeiten.

Überprüfen Sie für dieses Beispiel im geöffneten Editor, ob Priorität in der Auswahlliste Zielfeld angezeigt wird (siehe folgende Abbildung). Beachten Sie, dass es sich bei diesem Feld um die Prioritätdes Security Incident und nicht um die risikobasierte LogRhythmPrioritäthandelt.

In bestimmten Fällen ist eine Skripteinbindung für das Feld „ Priorität “ geeignet. Für den Alarm LogRhythm wird beispielsweise eine risikobasierte Prioritätspunktzahl ein Wert zwischen 0 und 100 zugewiesen. In Now Platformunterstützt das Feld Priorität für einen Security Incident jedoch Werte zwischen 1 und 5. Wie in der vorherigen Abbildung dargestellt, übersetzt eine Skripteinbindung die Werte des Alarmfelds LogRhythm in die entsprechenden Werte, die vom -Feld im Security Incident in Now Platformunterstützt werden.
In diesem Beispiel für das Feld Priorität gilt: Wenn der Alarmwert LogRhythm80 oder größer ist, wird im Feld Security Incident (Priorität ) 1angezeigt. Dieser Wert entspricht einer kritischen Priorität im Security Incident. Wenn für den Alarm kein Wert vorhanden ist, wird das Feld im Security Incident auf NULL gesetzt.
Geben Sie Änderungen ein, und klicken Sie auf Aktualisieren, um Ihre Änderungen zu speichern.
Die Tabelle „Feldübersetzungen LogRhythm “ wird angezeigt.
Schließen Sie die Tabelle, um zum Zuordnungsformular zurückzukehren.

Die folgende Abbildung zeigt den Skript-Editor mit ausgewählter Kategorie in der Auswahlliste Zielfeld.
Wenn Sie der Liste der Feldübersetzungen ein neues Feld hinzufügen möchten, führen Sie die folgenden Schritte aus, um einen neuen Datensatz hinzuzufügen.
1. Klicken Sie bei angezeigtem Zuordnungsformular im Abschnitt „SIR-Incident-Feldzuordnung“ auf den Link Hier klicken.
  Die Liste „Feldübersetzung LogRhythm “ mit den Feldern „ Priorität “ und „Kategorieziel“ wird angezeigt.
2. Klicken Sie auf „Neu“.
  
  Ein neuer Datensatz wird angezeigt.
3. Wählen Sie in der Auswahlliste Zielfeld ein Zielfeld im Security Incident aus, für den die geskripteten Werte angezeigt werden sollen.
4. Klicken Sie auf Absenden.
  Der Skript-Editor wird angezeigt.
5. Geben Sie die Änderungen in den Editor ein, und klicken Sie auf Absenden, um die Änderungen zu speichern.
  Die Tabelle „Feldübersetzungen LogRhythm “ mit dem neuen Datensatz wird angezeigt.
Schließen Sie die Tabelle, um zum Zuordnungsformular zurückzukehren.