Zuordnung von Warnungen und Ereignissen für Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Nachdem Sie die Quellen für die geplante Warnungserfassung oder die manuelle Ereignisweiterleitung identifiziert haben, werden im nächsten Schritt einzelne Ereignisfelder den Feldern in zugeordnet ServiceNow AI Platform Security Incident Response( SIR) Security Incident.

    Übersicht über die Zuordnung von Warnungen und Ereignissen

    Für den Zuordnungsschritt als Anwender mit sn_si.ingestion_profile_admin Rolle, erfassen Sie Beispielwarnungen von Ihrem Splunk Enterprise-Konsole, oder Sie exportieren Ereignisdaten für eine Splunk Enterprise Ereignis.

    Die folgenden Abbildungen sind Beispiele für die standardmäßigen Zuordnungsraster, die für jeden Ereignisprofiltyp bereitgestellt werden. Diese Standardzuordnung kann bearbeitet werden. Mit dieser Änderung können Sie die Felder anpassen, die den Security Incident ausfüllen. Mit dem Zuordnungsschritt können Sie visualisieren, wie sich das Hinzufügen oder Entfernen von Ereignisfeldern auf auswirkt SIR Security Incident-Feldwerte.

    Wählen Sie aus Warnungsname , Und nachdem Sie auf geklickt haben Rufen Sie Beispieldaten Ab , Splunk Warnungsfeldwerte werden auf der linken Seite des Formulars ausgefüllt, wenn Beispielwarnungen vom Profil erfasst werden. Dies sind die Splunk Warnungsfelder, die Sie dem zuordnen SIR Security Incident-Felder.

    Abbildung : 1. Standardzuordnungsformular für Warnungen
    Standardzuordnungsformular für Warnungen.

    Nachdem Sie zum Laden von Anhangsdaten für weitergeleitete Ereignisse auf geklickt haben Splunk Ereignisfelder werden auf der linken Seite des Formulars ausgefüllt. Dies sind die Splunk Datenfelder, die dem zugeordnet sind SIR Security Incident-Felder.

    Abbildung : 2. Standardzuordnungsformular für weitergeleitete Ereignisse
    Standardzuordnungsformular für Ereignisse.

    Möglicherweise möchten Sie einige Beispielwarnungen für überprüfen Splunk Konsole, die für den Konfigurationsschritt der Feldzuordnung erfasst werden soll. Dieser Schritt ist beschriftet, Zuordnung Auf der Fortschrittsleiste. Wenn diese Seite nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste.

    Ordnen Sie Warnungen zu und exportieren Sie Ereignisse bei Bedarf aus Ihrem Splunk Die enterprise-Konsole enthält die folgenden Konzepte und Aufgaben:
    • Rufen Sie Beispieldaten für automatisch erfasste Warnungsprofile ab. Nachdem Daten aus einer ausgelösten Warnung auf abgerufen (abgerufen) wurden Splunk Enterprise Konsole, verfügbare Warnungsfelder und die entsprechenden Werte werden in einem Standardzuordnungslayout auf der linken Seite des Zuordnungsformulars angezeigt. Registerkarten werden angezeigt, auf denen Sie die Werte für eine von Ihnen abgerufene Warnungs-ID anzeigen können. Überprüfen Sie, ob alle kritischen Felder aus dem Abschnitt „Warnungsbeispielerfassung“ auf der linken Seite des Formulars dem Raster auf der rechten Seite des Formulars zugeordnet sind.
    • Laden Sie bei Bedarf Ereignisbeispieldaten für alle manuell weitergeleiteten Ereignisprofile. Beispieldaten für diese Ereignisse werden in exportiert .Xml Datei aus dem Splunk Enterprise-Konsole und in geladen ServiceNow AI Platform® Instanz. Die importierten Daten werden im Abschnitt „Warnungsbeispielerfassung“ auf der linken Seite des Formulars angezeigt.
    • Bearbeiten Sie die Zuordnungskonfiguration, indem Sie Warnungen von der linken Seite ziehen und im Zuordnungsraster auf der rechten Seite ablegen. Das Zuordnungsraster auf der rechten Seite ordnet das Feld „eingehende Warnung“ einem Feld für ausgehende Security Incidents zu.
    • Passen Sie das Zuordnungsraster an, indem Sie Felder hinzufügen oder entfernen. Verfolgen Sie übersehene oder duplizierte Felder mit der bereitgestellten Farbcodierung nach.
    • Legen Sie Filterbedingungen fest, damit Sie angeben können, welche Warnungen in erfasst werden SIR Anwendung und welche Warnungen herausgefiltert werden.
    • Definieren Sie zusätzliche Incident-Feldkriterien, die eine eingehende Warnung zu einer vorhandenen aggregieren SIR Security Incident, um doppelte Incidents zu verhindern. Diese zusätzliche Filterung kann die Anzahl der aktiven, sich überschneidenden Security Incidents reduzieren, indem alle zugehörigen Security Event-Daten in einem einzelnen Security Incident platziert werden.
    • In bestimmten Fällen Ereignisfeldwerte in Splunk Enterprise-Konsole kann nicht direkt in die Felder auf übersetzt werden SIR Security Incident. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind. Beispiel: Mit dem Skripteditor die Feldwerte Malware-Warnung und Virusinfektion im Splunk Konsole beide in schädliche Code-Aktivität übersetzen im Feld Kategorie auf der SIR Security Incident.

    Profile für geplante Warnungen

    Nach dem Erstellen eines geplanten Warnungsprofils wird der Prozess-Flow für die Konfiguration in der folgenden Abbildung angezeigt.

    Abbildung : 3. Prozess-Flow für geplante Warnungsprofile
    Prozess-Flow für geplante Warnung.

    Profile für manuelle Ereignisweiterleitung

    Nach dem Erstellen eines Profils für ein Ereignis wird der Prozess-Flow für die Konfiguration in der folgenden Abbildung angezeigt.

    Abbildung : 4. Prozess-Flow für Ereignisprofile
    Prozess-Flow für Ereignisexport.

    Der nächste Schritt besteht darin, ausgelöste Warnungen zu erfassen oder Daten zu exportieren und Werte dem zuzuordnen SIR Security Incident-Felder.