スクリプトエディターを使用して ArcSight ESM 統合のために相関イベント値をフォーマットする

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:2分

    • 取り込まれた相関イベント値から直接マッピングされたフィールドに加えて、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットします。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    スクリプトエディターは、ArcSight ESM 相関イベントフィールドの値を変更して、Now Platform SIR セキュリティインシデントでサポートされている値が [カテゴリ]、 [構成アイテム (CI)]、[観測事象]、およびその他のセキュリティインシデントフィールドにマッピングされるように変更します。

    場合によっては、ArcSight ESM 相関イベント値は、セキュリティインシデントの [カテゴリ]、[構成アイテム (CI)]、および [観測事象] フィールドなどの参照フィールドにマップされます。sn_si.admin ロールを持つユーザーは、マッピングされたイベントフィールドの値を編集して、予想されるインシデントフィールドのフォーマットと値に合わせてフォーマットまたはデータ値を変換することができます。ArcSight ESM 相関イベントの値を SIR セキュリティインシデントのこれらのフィールドでサポートされている値に変換する場合は、スクリプトエディターを使用します。

    手順

    1. [マッピング] フォームを表示した状態で、リンクをクリックしてスクリプトエディターを開きます。
    2. 選択リストから、編集する値の宛先フィールドを選択します。
    3. または、[SIR インシデントフィールドマッピング] セクションで、フィールドの横にある角かっこアイコン [{}] をクリックして、そのフィールドのスクリプトエディターを開きます。

      場合によっては、 [構成アイテム] フィールドにスクリプトインクルードが適している場合があります。たとえば、相関イベントの場合、構成アイテムの値が一致しない可能性があります。

      次の図に示すように、[構成アイテム] フィールドの Now Platform CMDB で一致するホスト名が見つからない場合は、IP アドレスが見つかった場合に [構成アイテム] フィールドに入力されるようにルールを編集できます。

      エディターが開き、[宛先フィールド] にフィールドが表示されます。
    4. スクリプトに変更を入力し、[更新] をクリックして変更を保存します。
      [ArcSight ESM フィールド変換] テーブルが表示されます。
    5. テーブルを閉じて [マッピング] フォームに戻ります。