Splunk Enterprise Event Ingestion 統合でのスクリプトエディターを使用したアラート値のフォーマット
マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。
始める前に
プルされたアラート値および手動で入力したアラート値から直接マッピングされたフィールドに加えて、オプションで、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。スクリプトエディターは、Splunk アラートの値を変更して、Now Platform® セキュリティインシデントレスポンス セキュリティインシデントでサポートされている値が [カテゴリ]、 [構成アイテム (CI)]、および [観測事象] フィールドにマッピングされるように変更します。
必要なロール:sn_si.admin
このタスクについて
場合によっては、Splunk Enterprise アラート値は、SIR インシデントの [カテゴリ]、[構成アイテム (CI)]、および [観測事象] フィールドにマップされ、サポートされません。マッピングされた値を編集することもできます。Splunk Enterprise アラートの値を SIR セキュリティインシデントのこれらのフィールドでサポートされている値に変換する場合は、スクリプトエディターを使用します。
手順
-
[マッピング] フォームを表示した状態で、リンクをクリックしてスクリプトエディターを開きます。
-
または、[SIR インシデントフィールドマッピング] セクションで、フィールドの横にある角かっこアイコン [{}] をクリックして、そのフィールドのスクリプトエディターを開きます。
場合によっては、 [構成アイテム] フィールドにスクリプトインクルードが適している場合があります。たとえば、アラートの場合、構成アイテムの値が一致しない可能性があります。
次の図に示すように、[構成アイテム] フィールドの Now Platform® CMDB で一致するホスト名が見つからない場合は、IP アドレスが見つかった場合に [構成アイテム] フィールドに入力されるようにルールを編集できます。アラームの値がない場合、セキュリティインシデントのフィールドは null に設定されます。
エディターが開き、[宛先フィールド] にフィールドが表示されます。次の画像は、[構成アイテム] フィールドを [宛先フィールド] に設定したエディターを示しています。