Verwenden Sie den Skript-Editor, um Warnungswerte für zu formatieren Splunk Enterprise Security Integration der Ereigniserfassung
Verwenden Sie zusätzlich zu den direkt zugeordneten Feldern aus den erfassten wichtigen Ereigniswerten und den manuell eingegebenen Werten den Skript-Editor, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren.
Vorbereitungen
Erforderliche Rolle: sn_si.ingestion_profile_admin
Warum und wann dieser Vorgang ausgeführt wird
In bestimmten Fällen Splunk Enterprise Security Wichtige Ereigniswerte werden den Feldern Kategorie, Konfigurationselement (CI) und erkennbares Element auf der zugeordnet SIR Incidents werden nicht unterstützt. Möglicherweise möchten Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert von übersetzen möchten Splunk Enterprise Security Bemerkenswertes Ereignis für einen Wert, der von diesen Feldern im unterstützt wird SIR Security Incident verwenden Sie den Skript-Editor.
Prozedur
-
Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skript-Editor zu öffnen.
-
Alternativ können Sie im Abschnitt SIR-Incident-Feldzuordnung auf das Klammern-Symbol klicken [{}] Neben einem Feld, um den Skripteditor für dieses Feld zu öffnen.
In bestimmten Fällen kann eine Skripteinbindung für das Feld Konfigurationselement geeignet sein. Für ein bemerkenswertes Ereignis kann beispielsweise kein Wert für das Konfigurationselement übereinstimmen.
Wie in der folgenden Abbildung gezeigt, kann eine Übereinstimmung für einen Hostnamen nicht in gefunden werden ServiceNow AI Platform® CMDB für das Feld Konfigurationselement können Sie die Regel so bearbeiten, dass, wenn eine IP-Adresse gefunden wird, das Feld Konfigurationselement ausgefüllt wird. Wenn für den Alarm kein Wert vorhanden ist, wird das Feld im Security Incident auf null festgelegt.
Der Editor wird geöffnet, wobei das Feld im Zielfeld angezeigt wird. Die folgende Abbildung zeigt den Editor mit Konfigurationselement Feld als Zielfeld.