Mappage

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Après avoir sélectionné la source que vous souhaitez ingérer, vous devez mapper les LogRhythm champs d’alarme individuels LogRhythm aux champs d’incident ServiceNow AI Platform de sécurité.

    Le mappage des alarmes comprend les tâches suivantes :
    • Alarmes de carte LogRhythm . Pour cette tâche, vous répertoriez et ingérez (pull) des échantillons d’alarmes à l’aide des ID d’alarme ou des alarmes les plus récentes de la LogRhythm console client.
    • Les champs Échantillon d’alarme sont classés en trois groupes :
      • Champs d’alarme : les champs d’alarme disponibles et leurs valeurs correspondantes sont affichés.
      • Champs d’événement : les champs d’événement disponibles et leurs valeurs correspondantes sont affichés.
      • Champs DrillDownLog : les champs de journal d’exploration disponibles et leurs valeurs correspondantes sont affichés.
    • Chaque ID d’alarme que vous avez extrait s’affiche sous forme d’onglet. Dans les onglets ID d’alarme, vérifiez que tous les champs d’alarme critiques de la section Ingestion d’échantillons d’alarme à gauche du formulaire sont mappés à la section Mappage du champ d’incident SIR à droite du formulaire.
    • Une fois que vous avez mappé les alarmes au champ Mappage de champ d’incident SIR , vous pouvez voir la catégorie d’alarme s’afficher également dans le champ Expression d’entrée . Par exemple, ${Alarm : alarmid}$.
    • Vous pouvez modifier la configuration en ajoutant ou en supprimant des champs sur l’incident de sécurité. Suivez les champs négligés ou dupliqués à l’aide du code couleur fourni.
    • Vous pouvez filtrer les alarmes pour spécifier quelles alarmes sont ingérées dans l’application SIR. Vous pouvez filtrer les alarmes directement ou utiliser les catégories d’alarmes pour analyser votre recherche en fonction des alarmes, des événements ou des DrillDownLogs.
    • Utilisez l’éditeur de script si vous souhaitez formater les valeurs pour les champs Priorité et Catégorie de l’incident de sécurité.

    L’étape suivante consiste à Mapper LogRhythm les champs d’alarme aux champs d’incident de sécurité.