Utiliser l’éditeur de script pour formater LogRhythm les valeurs
Outre les champs directement mappés à partir des valeurs d’alarme extraites et les valeurs d’alarme que vous saisissez manuellement, vous pouvez utiliser l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage qui est facultative.
Avant de commencer
Rôle requis : sn_si.admin
L’éditeur de script modifie les valeurs d’une LogRhythm alarme afin que les valeurs mappées aux champs Priorité et Catégorie de l’incident de sécurité soient prises en charge.
Pourquoi et quand exécuter cette tâche
Dans certains cas, si LogRhythm les valeurs d’alarme sont mappées aux champs Priorité et Catégorie de l’incident de sécurité, vous voudrez peut-être modifier les valeurs mappées. Si vous souhaitez convertir la valeur d’une LogRhythm alarme en une valeur prise en charge par les champs Priorité ou Catégorie de l’incident de sécurité, utilisez l’éditeur de script.
Procédure
-
Une fois le formulaire de mappage affiché, dans la section Mappage du champ d’incident SIR, cliquez sur l’icône de crochet [{}] pour ouvrir l’éditeur de script.
Les valeurs par défaut sont incluses pour les champs Priorité et Catégorie de l’incident de sécurité. Vous pouvez modifier ces valeurs.
Pour cet exemple, dans l’éditeur ouvert, vérifiez que la priorité est affichée dans la liste de choix Champ de destination , comme illustré dans la figure suivante. Notez que ce champ est la priorité de l’incident de sécurité, et non la priorité basée sur les LogRhythm risques.
Dans certains cas, un include de script peut être approprié pour le champ Priorité . Pour une LogRhythm alarme, par exemple, un score de priorité basé sur le risque se voit attribuer une valeur comprise entre 0 et 100. Toutefois, dans le , le champ Priorité d’un ServiceNow AI Platform incident de sécurité prend en charge les valeurs comprises entre 1 et 5. Comme illustré dans la figure précédente, un include de script convertit les valeurs du LogRhythm champ d’alarme en valeurs appropriées prises en charge par le champ sur l’incident de sécurité dans le ServiceNow AI Platform.Dans cet exemple pour le champ Priorité , si la valeur de l’alarme LogRhythm est supérieure ou égale à 80 , 1 s’affiche dans le champ Incident de sécurité (Priorité). Cette valeur se traduit par une priorité critique dans l’incident de sécurité. Si aucune valeur n’est spécifiée pour l’alarme, le champ de l’incident de sécurité est défini sur Null.
-
Fermez la table pour revenir au formulaire de mappage.
La figure suivante montre l’éditeur de script avec la catégorie sélectionnée dans la liste de choix Champ de destination.
-
Si vous souhaitez ajouter un nouveau champ à la liste Traductions de champ, procédez comme suit pour ajouter un nouvel enregistrement.
-
Une fois le formulaire de mappage affiché, dans la section Mappage du champ d’incidents SIR, cliquez sur le lien Cliquez ici .La LogRhythm liste Traduction du champ avec les champs de priorité et de destination de catégorie s’affiche.
-
Cliquez sur Nouveau.
Un nouvel enregistrement s’affiche.
-
Dans la liste de choix Champ de destination, sélectionnez un champ de destination sur l’incident de sécurité pour lequel vous souhaitez afficher vos valeurs scriptées.
-
Une fois le formulaire de mappage affiché, dans la section Mappage du champ d’incidents SIR, cliquez sur le lien Cliquez ici .