Befehle für manuelle Suche
Manuelle Suchbefehle werden in jedem Suchfenster eingegeben. Sie können einen Security Incident oder ein Security-Ereignis erstellen. Nach dem Befehl werden Paare von Feldnamen und Werten verwendet, um den gewünschten Datensatz zu erstellen.
Sicherheitsereignis
Der Befehl für das Sicherheitsereignis, Snsecevent , Erstellt ein Ereignis in ServiceNowMit der Sicherheitsklassifizierung.
Diese Ereignisse können einzeln oder in Warnungsregeln überprüft werden ServiceNowOder manuelle Aktionen können ein Ereignis oder eine Sammlung von Ereignissen in einen Security Incident verwandeln.
| Parametername | Erforderlich | Verwenden | In Security Incident verwenden |
|---|---|---|---|
| Knoten | Ja | Der Knoten stellt den Server oder das Konfigurationselement für das Ereignis dar. Idealerweise ist dieser Knoten einem vorhandenen CI in zugeordnet ServiceNow. | In Security Incident verwenden |
| Typ | Ja | Die Kategorie des Ereignisses. | Kurzbeschreibung |
| Ressource | Ja | Das Konfigurationselement. | Kurzbeschreibung |
| Quelle | Nein | Die Herkunft dieser Daten. Standardmäßig generiert der Splunk-Server die Daten. | Aktivitätsprotokoll |
| External_url | Nein | Die Drilldown-URL, in der verwendet werden soll ServiceNowUm zu den Splunk-Daten zu diesem Ereignis zurückzukehren. Standardmäßig enthält diese URL den Ergebnislink für jede Warnung oder einen Link zur standardmäßigen Splunk-Suchseite. | Externe URL, auf die über zugegriffen wird Drilldown Schaltfläche im Formular „Security Incident“ |
| time_of_event | Nein | Die Zeit, zu der das Ereignis in Splunk protokolliert wurde. | k. A. |
| Alle anderen Werte (Kategorie, Unterkategorie im Beispiel) | Nein | Jedes Feld, das nicht Teil des Informationsfelds im Ereignis ist. Wenn ein Security Incident erstellt wird, wird er verwendet. | Wenn das Feld vorhanden und nicht ausgefüllt ist, verwendet der Security Incident diesen Wert. Beispielsweise wird die durch das Ereignis übergebene Kategorie zur Kategorie des neuen Security Incidents. Wenn kein Feld mit diesem Namen vorhanden ist, wird der Wert im Aktivitätsprotokoll platziert. |
Security Incident
Der Befehl „Security Incident“ SnsecIncident , Erstellt einen Security Incident in ServiceNowInstanz.
| Parameter | Erforderlich | Verwenden |
|---|---|---|
| short_description | Ja | Eine kurze, einzeilige Beschreibung des Incidents. |
| Kategorie | Nein | Die Kategorie des Security Incidents. Wenn diese Kategorie nicht vorhanden ist, wird sie erstellt. |
| Unterkategorie | Nein | Die Unterkategorie. Wenn diese Unterkategorie nicht vorhanden ist, wird sie erstellt. |
| cmdb_ci | Nein | Das Konfigurationselement für den Security Incident. Idealerweise ist dieses Element einem vorhandenen CI in zugeordnet ServiceNow. |
| Beschreibung | Nein | Die längere, detaillierte Beschreibung des Incidents. |
Es gibt viele mögliche nützliche Spalten – alles in der Transformationszuordnung für Security Incidents kann verwendet werden. Wenn dem Security Incident neue Spalten hinzugefügt werden, werden auch sie verwendet, solange sie sich in der Transformationszuordnung befinden. Einige nützliche Spalten: Location, Priority, Assignation_Group, assigned_to, affected_user, Attack_Vector und watch_list.