스크립트 편집기를 사용하여 통합에 대한 경보 값의 서식을 Splunk Enterprise Event Ingestion 지정합니다
스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 서식을 지정합니다.
시작하기 전에
끌어온 경보 값에서 직접 매핑된 필드와 수동으로 입력하는 경보 값 외에도, 선택적으로 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 서식을 지정할 수 있습니다. 스크립트 편집기는 보안 인시던트에서 ServiceNow AI Platform® 보안 인시던트 응답 지원하는 값이 범주, CI(구성 항목) 및 옵저버블 필드에 매핑되도록 경보 값을 Splunk 변경합니다.
필요한 역할: sn_si.ingestion_profile_admin
주:
sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.
이 태스크 정보
경우에 따라 Splunk Enterprise 경보 값은 인시던트의 SIR 범주, CI(구성 항목) 및 옵저버블 필드에 매핑되며 지원되지 않습니다. 매핑된 값을 편집하는 것이 좋습니다. 경보 값을 Splunk Enterprise 보안 인시던트의 이러한 필드에서 SIR 지원하는 값으로 변환하려면 스크립트 편집기를 사용합니다.
프로시저
-
매핑 양식이 표시되면 링크를 클릭하여 스크립트 편집기를 엽니다.
-
또는 SIR 인시던트 필드 매핑 섹션에서 필드 옆에 있는 대괄호 아이콘 [{}] 을 클릭하여 해당 필드의 스크립트 편집기를 엽니다.
경우에 따라 스크립트 포함이 구성 항목 필드에 적합할 수 있습니다. 예를 들어 경보의 경우 구성 항목의 값이 일치하지 않을 수 있습니다.
다음 그림과 같이 구성 항목 필드의 CMBD에서 ServiceNow AI Platform® 호스트 이름과 일치하는 항목을 찾을 수 없는 경우 IP 주소가 발견되면 구성 항목 필드를 채우도록 규칙을 편집할 수 있습니다. 경보에 대한 값이 없으면 보안 인시던트의 필드가 null로 설정됩니다.
대상 필드에 필드가 표시된 상태로 편집기가 열립니다. 다음 이미지는 구성 항목 필드가 대상 필드인 편집기를 보여줍니다.