Utiliser l’éditeur de script pour formater LogRhythm les valeurs

Rversion finale: Xanadu

Mis à jour 1 août 2024

2 minutes de lecture

En plus des champs directement mappés à partir des valeurs d’alarme extraites et des valeurs d’alarme que vous saisissez manuellement, vous pouvez utiliser l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage, qui est facultative.

Avant de commencer

Rôle requis : sn_si.admin

L’éditeur de script modifie les valeurs d’une LogRhythm alarme afin que les valeurs mappées aux champs Priorité et Catégorie de l’incident de sécurité soient prises en charge.

Pourquoi et quand exécuter cette tâche

Dans certains cas, si LogRhythm les valeurs d’alarme sont mappées aux champs Priorité et Catégorie de l’incident de sécurité, vous pouvez modifier les valeurs mappées. Si vous souhaitez convertir la valeur d’une LogRhythm alarme en une valeur prise en charge par les champs Priorité ou Catégorie de l’incident de sécurité, utilisez l’éditeur de script.

Procédure

Une fois le formulaire de mappage affiché, cliquez sur l’icône de crochet [{}] pour ouvrir l’éditeur de script dans la section Mappage de champ d’incident SIR.

Les valeurs par défaut sont incluses pour les champs Priorité et Catégorie de l’incident de sécurité. Vous pouvez modifier ces valeurs.

Pour cet exemple, dans l’éditeur ouvert, vérifiez que la priorité est affichée dans la liste de choix Champ de destination , comme illustré dans la figure suivante. Notez que ce champ est la priorité de l’incident de sécurité, et non la priorité basée sur le LogRhythm risque.

Dans certains cas, un include de script peut être approprié pour le champ Priorité . Pour une LogRhythm alarme, par exemple, un score de priorité basé sur le risque se voit attribuer une valeur comprise entre 0 et 100. Toutefois, dans le Now Platform, le champ de priorité d’un incident de sécurité prend en charge des valeurs comprises entre 1 et 5. Comme illustré dans la figure précédente, un script include convertit les valeurs de champ d’alarme LogRhythm en valeurs appropriées prises en charge par le champ sur l’incident de sécurité dans le Now Platform.
Dans cet exemple pour le champ Priorité , si la valeur de l’alarme LogRhythm est supérieure ou égale à 80 , 1 s’affiche dans le champ Incident de sécurité (Priorité). Cette valeur se traduit par une priorité critique dans l’incident de sécurité. S’il n’y a pas de valeur pour l’alarme, le champ de l’incident de sécurité est défini sur null.
Saisissez toutes les modifications, puis cliquez sur Mettre à jour pour enregistrer vos modifications.
La LogRhythm table Traductions de champ s’affiche.
Fermez la table pour revenir au formulaire de mappage.

La figure suivante montre l’éditeur de script dont la catégorie est sélectionnée dans la liste de choix Champ de destination.
Si vous souhaitez ajouter un nouveau champ à la liste Traductions de champs, procédez comme suit pour ajouter un nouvel enregistrement.
1. Une fois le formulaire de mappage affiché, cliquez sur le lien Cliquez ici dans la section Mappage des champs d’incidents SIR.
  La LogRhythm liste Traduction de champ avec les champs de destination de priorité et de catégorie s’affiche.
2. Cliquez sur Nouveau.
  
  Un nouvel enregistrement s’affiche.
3. Dans la liste de choix Champs de destination, sélectionnez un champ de destination sur l’incident de sécurité pour lequel vous souhaitez afficher vos valeurs scriptées.
4. Cliquez sur Envoyer.
  L’éditeur de script s’affiche.
5. Saisissez toutes les modifications dans l’éditeur, puis cliquez sur Soumettre pour enregistrer vos modifications.
  La LogRhythm table Traductions de champ avec votre nouvel enregistrement s’affiche.
Fermez la table pour revenir au formulaire de mappage.