手動検索コマンド
手動検索コマンドは、任意の [検索] ウィンドウから入力します。セキュリティインシデントまたはセキュリティイベントを作成できます。コマンドの後に、目的のレコードを作成するために使用されるフィールド名と値のペアがあります。
セキュリティイベント
snsecevent セキュリティイベントコマンドは、セキュリティ分類を使用して、ServiceNow にイベントを作成します。
これらのイベントは単独でレビューすることも、ServiceNow 内のアラートルールまたは手動アクションでイベントまたはイベントのコレクションをセキュリティインシデントに変換することもできます。
イベントがセキュリティインシデントになり、各パラメーターがイベントに送信される場合、このデータは次のようにセキュリティインシデントを入力するために使用されます。
| パラメーター名 | 必須 | 使用 | セキュリティインシデントでの使用 |
|---|---|---|---|
| node | はい | ノードは、イベントのサーバーまたは構成アイテムを表します。このノードは ServiceNow 内の既存の CI にマッピングされることが理想的です。 | セキュリティインシデントでの使用 |
| type | はい | イベントのカテゴリ。 | 簡単な説明 |
| resource | はい | 構成アイテム。 | 簡単な説明 |
| source | いいえ | このデータの作成元。デフォルトでは、Splunk サーバーがデータを生成します。 | アクティビティログ |
| external_url | いいえ | このイベントに関する Splunk データに戻るために ServiceNow で使用するドリルダウン URL。デフォルトでは、この URL にはアラートの結果リンク、またはデフォルトの Splunk 検索ページへのリンクが含まれています。 | [セキュリティインシデント] フォームの [ドリルダウン] ボタンを使用してアクセスする外部 URL |
| time_of_event | いいえ | イベントが Splunk に記録された時間。 | 該当なし |
| 他のすべての値 (例ではカテゴリ、サブカテゴリ) | いいえ | イベントの情報フィールドに含まれていないフィールド。セキュリティインシデントが作成された場合は、それが使用されます。 | フィールドが存在し、入力されていない場合、セキュリティインシデントはその値を使用します。たとえば、イベントを通過するカテゴリは、新しいセキュリティインシデントのカテゴリになります。この名前のフィールドが存在しない場合、値はアクティビティログに配置されます。 |
セキュリティインシデント
snsecincident セキュリティインシデントコマンドは、ServiceNow インスタンスにセキュリティインシデントを作成します。
| パラメーター | 必須 | 使用 |
|---|---|---|
| short_description | はい | インシデントの簡単な 1 行の説明。 |
| category | いいえ | セキュリティインシデントのカテゴリ。このカテゴリが存在しない場合は作成されます。 |
| subcategory | いいえ | サブカテゴリ。このサブカテゴリが存在しない場合は作成されます。 |
| cmdb_ci | いいえ | セキュリティインシデントの構成アイテム。このアイテムは ServiceNow 内の既存の CI にマップされることが理想的です。 |
| description | いいえ | インシデントのより詳細な説明。 |
多数の有用な列があり、セキュリティインシデント変換マップ内の任意の列を使用できます。セキュリティインシデントに新しい列が追加された場合、変換マップ内にある限りその列は使用されます。役立つ列には、location、priority、assignment_group、assigned_to、affected_user、attack_vector、watch_list などがあります。