Automatische Erstellung von Security Incidents

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Überwachungstools von Drittanbietern wie Splunk können in Security Incident Response integriert werden, sodass aus diesen Tools importierte Sicherheitsereignisse automatisch Security Incidents generieren. Sie können auch Daten aus Drittanbieter-Tools in Sicherheitswarnungen importieren.

    Zur Integration von Warnungsüberwachungstools in Security Incident Responsemüssen Sie mit der REST API in die Importtabelle für Security Incidents [sn_si_incident_import] schreiben. Anschließend wird die Importsatz-Quelltabelle mithilfe der Security Incident Transform- TransformationszuordnungenFeldern in der Zieltabelle „Security Incident“ [sn_si.incident] zugeordnet.

    Wenn Sie versuchen, CI-Datensätze zu importieren, die von der Transformationszuordnung nicht erkannt werden, prüft das Skript der Transformationszuordnung den Datensatz auf Folgendes (in dieser Reihenfolge), um eine Übereinstimmung zu finden:
    • sys_id
    • CI-Name
    • Vollqualifizierter Domänenname
    • IP-Adresse
    Hinweis:
    Wenn Sie feststellen, dass die Transformationszuordnung für Security Incident-Transformationen für das von Ihnen verwendete Tool zur Überwachung von Drittanbieterwarnungen nicht ausreicht, duplizieren Sie die Transformationszuordnung, erstellen Sie eine neue, und bearbeiten Sie die Felder nach Bedarf.