Verwenden Sie den Skript-Editor zum Formatieren von Warnungswerten für die Splunk Enterprise Security Event Ingestion-Integration
Verwenden Sie zusätzlich zu den direkt zugeordneten Feldern aus den erfassten Werten für wichtige Ereignisse und den Werten, die Sie manuell eingeben, den Skript-Editor, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
In bestimmten Fällen werden Splunk Enterprise Security wichtige Ereigniswerte den Feldern „Kategorie“, „Configuration Item (CI)“ und „Erkennbares Element“ im Incident SIR zugeordnet. Dies wird nicht unterstützt. Möglicherweise möchten Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert eines wichtigen Ereignisses Splunk Enterprise Security in einen Wert übersetzen möchten, der von diesen Feldern im Security Incident SIR unterstützt wird, verwenden Sie den Skript-Editor.
Prozedur
-
Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skript-Editor zu öffnen.
-
Alternativ können Sie im Abschnitt „SIR-Incident-Feldzuordnung“ auf das Klammersymbol [{}] neben einem Feld klicken, um den Skript-Editor für dieses Feld zu öffnen.
In bestimmten Fällen ist möglicherweise eine Skripteinbindung für das Feld Konfigurationselement geeignet. Bei einem beachtenswerten Ereignis stimmt beispielsweise ein Wert für das Konfigurationselement möglicherweise nicht überein.
Wie in der folgenden Abbildung gezeigt, können Sie, wenn in der CMDB Now Platform® für das Feld Konfigurationselement keine Übereinstimmung mit einem Hostnamen gefunden wird, die Regel so bearbeiten, dass das Feld Konfigurationselement ausgefüllt wird, sobald eine IP-Adresse gefunden wird. Wenn für den Alarm kein Wert vorhanden ist, wird das Feld im Security Incident auf NULL gesetzt.
Der Editor wird mit dem Feld unter Zielfeld geöffnet. Die folgende Abbildung zeigt den Editor mit dem Feld Konfigurationselement als Zielfeld.