Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem zugeordnet haben Now Platform® Security Incident Response( SIR) Security Incident. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle Warnungsfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
Zeigen Sie eine Vorschau eines Security Incidents an, und bearbeiten Sie die Zuordnung nach Bedarf erneut, um Felder mit Fehlern zu beheben oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von SIRSecurity Incidents werden nicht als tatsächliche Incidents in gespeichert SIRProdukt.
Prozedur
-
Wenn die Vorschau des Security Incidents nicht angezeigt wird, klicken Sie auf Vorschau Im Fortschrittsbalken.
-
Wählen Sie aus Warnungsname Und wählen Sie dann ein Element aus Beispiel für Warnungs-IDs Liste.
Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.
-
Überprüfen Sie die Feldzuordnung der Warnungswerte für den Security Incident.
Das vorhergehende Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel ist für einen Wert kein Feld im Security Incident vorhanden, oder das Feld unterstützt den von Ihnen zugeordneten Wert nicht. Eine Fehlermeldung wird angezeigt, die angibt, dass kein Eingabewert für gefunden wurde Konfigurationselement Feld.
-
Klicken Sie auf, um diesen Fehler zu beheben Zuordnung Im Fortschrittsbalken.
-
Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
-
Zeigen Sie erneut eine Vorschau der Zuordnung an, und beheben Sie alle Fehler, die in Fehlermeldungen beschrieben sind.
Die folgende Abbildung ist ein Beispiel für die Registerkarte „Incident-Details“ in der unteren Hälfte von SIRSecurity Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder „Beschreibung“ und „Arbeitsnotizen“ zugeordnet, und diese Felder werden mit den Werten aus den Wertpaaren ausgefüllt, die aus abgerufen wurden Splunk EnterpriseKonsole. Das erste Feld für Arbeitsnotizen hat keinen Wert. Dieses Feld wurde während des Zuordnungsschritts im Zuordnungsraster leer gelassen. Die zusätzlichen Arbeitsnotizfelder mit Werten wurden dem Zuordnungsraster während des Zuordnungsschritts hinzugefügt.
-
Nachdem Sie Fehler behoben und überprüft haben, dass die Felder so sind, wie Sie sie möchten, wählen Sie eine Option aus, um fortzufahren.
| Option | Beschreibung |
|---|
| Fortsetzen |
Das Zeitplanformular wird für Profile mit geplanten Warnungen angezeigt. Zeitplanung Ist im Fortschrittsbalken ausgewählt.
|
| Fertigstellen |
Klicken Sie für Profile, die für die manuelle Ereignisweiterleitung konfiguriert sind, auf Beenden . Es gibt keinen Planungsschritt für Profile mit Ereignisdaten, die bei Bedarf direkt aus exportiert werden Splunk EnterpriseKonsole. |
| Aktualisieren |
Ihre Daten werden gespeichert, und Sie werden zu zurückgegeben SplunkEreignisprofilliste. |
| Zurück |
Der Zuordnungsschritt im Fortschrittsbalken wird angezeigt. |
| Löschen |
Löschen Sie dieses Ereignisprofil und das SplunkDie Liste „Ereignisprofile“ wird angezeigt. |
Nächste Maßnahme
Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, besteht der nächste Schritt in Planen und rufen Sie Warnungen für ab Splunk Enterprise Event IngestionIntegration.