Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Utilisez l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage.

    Avant de commencer

    Outre les champs directement mappés à partir des valeurs d’alerte extraites et les valeurs d’alerte que vous saisissez manuellement, vous pouvez éventuellement utiliser l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. L’éditeur de script modifie les valeurs d’une Splunk alerte afin que les valeurs prises en charge par l’incident ServiceNow AI Platform® Réponse aux incidents de sécurité de sécurité soient mappées aux champs Catégorie, Élément de configuration (CI) et Observable.

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Dans certains cas, Splunk Enterprise les valeurs d’alerte sont mappées aux champs Catégorie, Élément de configuration (CI) et Observable de l’incident SIR et ne sont pas prises en charge. Vous préférez peut-être modifier les valeurs mappées. Si vous souhaitez convertir la valeur d’une Splunk Enterprise alerte en une valeur prise en charge par ces champs sur l’incident SIR de sécurité, utilisez l’éditeur de script.

    Procédure

    1. Une fois le formulaire de mappage affiché, cliquez sur le lien pour ouvrir l’éditeur de script.
      Cliquez ici lien pour l’éditeur de script mis en surbrillance.
    2. Dans la liste de choix, sélectionnez un champ de destination pour la valeur que vous souhaitez modifier.
    3. Sinon, dans la section Mappage du champ d’incidents SIR, cliquez sur l’icône de crochet [{}] en regard d’un champ pour ouvrir l’éditeur de script pour ce champ.

      Dans certains cas, un include de script peut être approprié pour le champ Élément de configuration. Pour une alerte, par exemple, une valeur de l’élément de configuration peut ne pas être mise en correspondance.

      Comme le montre la figure suivante, si une correspondance pour un nom d’hôte est introuvable dans le ServiceNow AI Platform® CMBD pour le champ Élément de configuration, vous pouvez modifier la règle de sorte que si une adresse IP est trouvée, elle remplit le champ Élément de configuration. Si aucune valeur n’est spécifiée pour l’alarme, le champ de l’incident de sécurité est défini sur Null.

      L’éditeur s’ouvre avec le champ affiché dans Champ de destination. L’image suivante montre l’éditeur avec le champ Élément de configuration comme champ de destination.
      Éditeur de script.
    4. Entrez les modifications apportées au script et cliquez sur Mettre à jour pour enregistrer vos modifications.
      La Splunk table Traductions de champ s’affiche.
    5. Fermez la table pour revenir au formulaire de mappage.