スクリプトエディターを使用した LogRhythm 値のフォーマット
プルされたアラーム値および手動で入力したアラーム値から直接マッピングされたフィールドに加えて、オプションのマッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。
始める前に
必要なロール:sn_si.admin
スクリプトエディターは、LogRhythm アラームの値を変更して、セキュリティインシデントの「Priority」および「Category」のフィールドにマッピングされる値がサポートされるようにします。
このタスクについて
LogRhythm アラーム値がセキュリティインシデントの「Priority」および「Category」のフィールドにマッピングされている場合は、マッピングされた値を編集することができます。LogRhythm アラームの値をセキュリティインシデントの「Priority」および「Category」のフィールドでサポートされている値に変換する場合は、スクリプトエディターを使用します。
手順
-
マッピングフォームを表示した状態で、[SIR インシデントフィールドマッピング] セクションで角括弧アイコン [{}] をクリックしてスクリプトエディターを開きます。
デフォルト値は、セキュリティインシデントの「Priority」および「Category」のフィールドに含まれています。これらの値は編集できます。
この例では、次の図に示すように、開いているエディターで [宛先フィールド] 選択リストに [優先度] が表示されていることを確認します。このフィールドは LogRhythm リスクベースの優先度ではなくセキュリティインシデントの優先度であることに注意してください。
場合によっては、[優先度] フィールドにスクリプトインクルードが適していることがあります。たとえば、LogRhythm アラームの場合、リスクベースの優先度スコアには 0 〜 100 の値が割り当てられます。ただし、Now Platform では、セキュリティインシデントの [優先度] フィールドは 1 〜 5 の値をサポートしています。前の図に示すように、スクリプトインクルードは、LogRhythm アラームフィールドの値を Now Platform のセキュリティインシデントのフィールドでサポートされている適切な値に変換します。「Priority」のフィールドのこの例では、LogRhythm アラーム値が「80」以上の場合、[セキュリティインシデント] フィールド (Priority) には「1」と表示されます。この値は、セキュリティインシデントの「Critical」の優先度に変換されます。アラームの値がない場合、セキュリティインシデントのフィールドは null に設定されます。
-
テーブルを閉じて [マッピング] フォームに戻ります。
次の図は、[宛先フィールド] 選択リストで「Category」が選択されたスクリプトエディターを示しています。
-
[フィールド変換] リストに新しいフィールドを追加する場合は、次のステップに従って新しいレコードを追加します。
-
マッピングフォームを表示した状態で、[SIR インシデントフィールドマッピング] セクションの [ここをクリック] リンクをクリックしてます。「priority」と「category」の宛先フィールドを含む LogRhythm フィールド変換リストが表示されます。
-
[新規] をクリックします。
新しいレコードが表示されます。
-
[宛先フィールド] 選択リストから、スクリプト化された値を表示するセキュリティインシデントの宛先フィールドを選択します。
-
マッピングフォームを表示した状態で、[SIR インシデントフィールドマッピング] セクションの [ここをクリック] リンクをクリックしてます。