Verwenden Sie den Skript-Editor zum Formatieren von Warnungswerten für die Integration Splunk Enterprise Event Ingestion .

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie den Skript-Editor zum Formatieren von Feldwerten im Security Incident während des Zuordnungsschritts.

    Vorbereitungen

    Zusätzlich zu den direkt zugeordneten Feldern aus den abgerufenen Warnungswerten und den manuell eingegebenen Warnungswerten können Sie optional den Skript-Editor verwenden, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren. Der Skript-Editor ändert die Werte einer Splunk -Warnung so, dass Werte, die vom Security Incident Now Platform® Security Incident Response unterstützt werden, den Feldern „Kategorie“, „Configuration Item“ (CI) und „Erkennbares Element“ zugeordnet werden.

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    In bestimmten Fällen werden die Warnungswerte Splunk Enterprise den Feldern Kategorie, Configuration Item (CI) und Erkennbares Element im Incident SIR zugeordnet und nicht unterstützt. Möglicherweise möchten Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert einer Splunk Enterprise -Warnung in einen Wert übersetzen möchten, der von diesen Feldern im Security Incident SIR unterstützt wird, verwenden Sie den Skript-Editor.

    Prozedur

    1. Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skript-Editor zu öffnen.
      Klicken Sie hier, um den Skript-Editor hervorzuheben.
    2. Wählen Sie in der Auswahlliste ein Zielfeld für den Wert aus, den Sie bearbeiten möchten.
    3. Alternativ können Sie im Abschnitt „SIR-Incident-Feldzuordnung“ auf das Klammersymbol [{}] neben einem Feld klicken, um den Skript-Editor für dieses Feld zu öffnen.

      In bestimmten Fällen ist möglicherweise eine Skripteinbindung für das Feld Konfigurationselement geeignet. Bei einer Warnung stimmt möglicherweise kein Wert für das Configuration Item mit überein.

      Wie in der folgenden Abbildung gezeigt, können Sie, wenn im CMBD Now Platform® für das Feld Konfigurationselement keine Übereinstimmung für einen Hostnamen gefunden wird, die Regel so bearbeiten, dass das Feld Konfigurationselement ausgefüllt wird, sobald eine IP-Adresse gefunden wird. Wenn für den Alarm kein Wert vorhanden ist, wird das Feld im Security Incident auf NULL gesetzt.

      Der Editor wird mit dem Feld unter Zielfeld geöffnet. Die folgende Abbildung zeigt den Editor mit dem Feld Konfigurationselement als Zielfeld.
      Skript-Editor
    4. Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um Ihre Änderungen zu speichern.
      Die Tabelle „Feldübersetzungen Splunk “ wird angezeigt.
    5. Schließen Sie die Tabelle, um zum Zuordnungsformular zurückzukehren.