Verwenden Sie den Skripteditor, um Warnungswerte für zu formatieren Splunk Enterprise SecurityIntegration der Ereigniserfassung
Verwenden Sie zusätzlich zu den direkt zugeordneten Feldern aus den erfassten Werten bedeutender Ereignisse und den manuell eingegebenen Werten den Skripteditor, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
In bestimmten Fällen Splunk Enterprise SecurityBedeutende Ereigniswerte werden den Feldern Kategorie, Konfigurationselement (CI) und erkennbares Element auf zugeordnet SIRIncident werden nicht unterstützt. Möglicherweise möchten Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert von übersetzen möchten Splunk Enterprise SecurityBedeutendes Ereignis für einen Wert, der von diesen Feldern auf unterstützt wird SIRSecurity Incident: Verwenden Sie den Skripteditor.
Prozedur
-
Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skripteditor zu öffnen.
-
Alternativ können Sie im Abschnitt „Zuordnung DES SIR-Incidents-Felds“ auf das Klammern-Symbol klicken [{}] Neben einem Feld, um den Skripteditor für dieses Feld zu öffnen.
In bestimmten Fällen kann eine Skripteinbindung für das Feld „Konfigurationselement“ geeignet sein. Für ein bedeutendes Ereignis kann z. B. ein Wert für das Konfigurationselement nicht übereinstimmen.
Wie in der folgenden Abbildung gezeigt, wenn eine Übereinstimmung für einen Hostnamen in nicht gefunden werden kann Now Platform®CMDB für das Feld „Konfigurationselement“ können Sie die Regel so bearbeiten, dass, wenn eine IP-Adresse gefunden wird, das Feld „Konfigurationselement“ ausgefüllt wird. Wenn kein Wert für den Alarm vorhanden ist, wird das Feld im Security Incident auf null festgelegt.
Der Editor wird geöffnet und zeigt das Feld im Zielfeld an. Das folgende Bild zeigt den Editor mit Konfigurationselement Feld als Zielfeld.