Utiliser l’éditeur de script pour formater les valeurs d’événements de corrélation

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • En plus des champs directement mappés à partir des valeurs d’événements de corrélation ingérées, utilisez l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    L’éditeur de script modifie les valeurs d’un ArcSight ESM champ d’événement de corrélation de sorte que les valeurs prises en charge par l’incident ServiceNow AI Platform SIR de sécurité soient mappées aux champs Catégorie, Élément de configuration (CI), Observable et Autres champs d’incident de sécurité.

    Dans certains cas, ArcSight ESM les valeurs de l’événement de corrélation sont mappées à des champs de référence tels que les champs Catégorie, Élément de configuration (CI) et Observable sur l’incident de sécurité. En tant qu’utilisateur disposant du rôle sn_si.admin, vous pouvez préférer modifier les valeurs de champ d’événement mappées à traduire les valeurs de format ou les valeurs de données pour les rendre conformes aux formats de champ d’incident et aux valeurs attendues. Si vous souhaitez convertir la valeur d’un ArcSight ESM événement de corrélation en une valeur prise en charge par ces champs sur l’incident SIR de sécurité, utilisez l’éditeur de script.

    Procédure

    1. Une fois le formulaire de mappage affiché, cliquez sur le lien pour ouvrir l’éditeur de script.
    2. Dans la liste de choix, sélectionnez un champ de destination pour la valeur que vous souhaitez modifier.
    3. Sinon, dans la section Mappage du champ d’incidents SIR, cliquez sur l’icône de crochet [{}] en regard d’un champ pour ouvrir l’éditeur de script pour ce champ.

      Dans certains cas, un include de script peut être approprié pour le champ Élément de configuration. Pour un événement de corrélation, par exemple, une valeur de l’élément de configuration peut ne pas être mise en correspondance.

      Comme le montre la figure suivante, si une correspondance pour un nom d’hôte est introuvable dans la ServiceNow AI Platform CMDB pour le champ Élément de configuration, vous pouvez modifier la règle de sorte que si une adresse IP est trouvée, elle remplit le champ Élément de configuration.

      L’éditeur s’ouvre avec le champ affiché dans Champ de destination.
    4. Entrez les modifications apportées au script et cliquez sur Mettre à jour pour enregistrer vos modifications.
      La ArcSight ESM table Traductions de champ s’affiche.
    5. Fermez la table pour revenir au formulaire de mappage.