Vorschau des Security Incidents für anzeigen ArcSight ESM Integration der Ereigniserfassung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem zugeordnet haben ServiceNow AI Platform Security Incident Response(SIR) Security Incident. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle Korrelationsfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Als Anwender mit der Rolle „sn_si.admin“ können Sie eine Vorschau eines Security Incidents anzeigen und die Zuordnung nach Bedarf erneut bearbeiten, um Felder mit Fehlern zu beheben oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von Security Incidents werden nicht als tatsächliche Incidents in gespeichert Security Incident Response Produkt.

    Prozedur

    1. Wenn die Security Incident-Vorschau nicht angezeigt wird, klicken Sie auf Vorschau In der Fortschrittsleiste.
    2. Wählen Sie in der Auswahlliste Beispiel-Ereignis-IDs ein Element aus.
      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.
    3. Überprüfen Sie die Feldzuordnung der Korrelationsereigniswerte für den Security Incident.

      ArcSight ESM: Profil erstellen: Vorschau

      Das vorangegangene Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel hat ein Feldwert aus dem Korrelationsereignis keinen akzeptablen Wert für das Referenzfeld im SIR-Incident-Formular. Eine Fehlermeldung wird angezeigt, die angibt, dass für keinen Eingabewert gefunden wurde Kategorie Feld, das ein Referenzfeld mit einem bestimmten Satz von Werten ist. Daher wird dieser zugeordnete Feldwert nicht in angezeigt SIR Security Incident-Formular ohne weitere Änderung.

    4. Klicken Sie auf, um diesen Fehler zu beheben Zuordnung In der Fortschrittsleiste.
    5. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    6. Zeigen Sie erneut eine Vorschau der Zuordnung an, und beheben Sie alle Fehler, die in Fehlermeldungen beschrieben werden.

      Die folgende Abbildung ist ein Beispiel für die Registerkarte Incident-Details in der unteren Hälfte eines Security Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren ausgefüllt, die aus abgerufen wurden ArcSight ESM Beispiele für Korrelationsereignisse.


      ArcSight ESM: Profil erstellen: Incident-Vorschau anzeigen

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, besteht der nächste Schritt darin, den Zeitplan zu definieren.