Utiliser l’éditeur de script pour formater les valeurs d’événements de corrélation pour ArcSight ESM l’intégration

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • En plus des champs directement mappés à partir des valeurs d’événements de corrélation ingérés, utilisez l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    L’éditeur de script modifie les valeurs d’un ArcSight ESM champ d’événement de corrélation afin que les valeurs prises en charge par l’incident Now Platform SIR de sécurité soient mappées aux champs Catégorie, Élément de configuration (CI), Observable et autres d’incident de sécurité.

    Dans certains cas, ArcSight ESM les valeurs d’événements de corrélation sont mappées aux champs de référence tels que les champs Catégorie, Élément de configuration (CI) et Observables sur l’incident de sécurité. En tant qu’utilisateur disposant du rôle sn_si.admin, vous préférez peut-être modifier les valeurs de champ d’événement mappées pour traduire le format ou les valeurs de données afin qu’elles soient conformes aux formats de champ d’incident et aux valeurs attendues. Si vous souhaitez convertir la valeur d’un ArcSight ESM événement de corrélation en une valeur prise en charge par ces champs sur l’incident SIR de sécurité, utilisez l’éditeur de script.

    Procédure

    1. Une fois le formulaire de mappage affiché, cliquez sur le lien pour ouvrir l’éditeur de script.
    2. Dans la liste de choix, sélectionnez un champ de destination pour la valeur que vous souhaitez modifier.
    3. Dans la section Mappage de champs d’incidents SIR, vous pouvez également cliquer sur l’icône de crochet [{}] en regard d’un champ pour ouvrir l’éditeur de script relatif à ce champ.

      Dans certains cas, un include de script peut être approprié pour le champ Élément de configuration. Pour un événement de corrélation, par exemple, une valeur pour l’élément de configuration peut ne pas être mise en correspondance.

      Comme le montre la figure suivante, si une correspondance de nom d’hôte est introuvable dans la Now Platform CMDB pour le champ Élément de configuration, vous pouvez modifier la règle de sorte que, si une adresse IP est trouvée, elle remplisse le champ Élément de configuration.

      L’éditeur s’ouvre avec le champ affiché dans Champ de destination.
    4. Entrez toutes les modifications dans le script, puis cliquez sur Mettre à jour pour enregistrer vos modifications.
      La ArcSight ESM table Traductions de champ s’affiche.
    5. Fermez la table pour revenir au formulaire de mappage.