複数レコードのカスタムフィールド Splunk アラートの例
カスタムフィールドを含む複数のレコード Splunk アラートを作成する場合は、アラートデータを生成するための検索条件を定義する必要があります。セキュリティインシデントとセキュリティイベントの検索条件の例を示します。
セキュリティインシデントの検索
セキュリティインシデントの場合、この条件は [セキュリティインシデント] テーブルの列に入力する検索をビルドします。
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval contact_type="Monitoring" |
eval cmdb_ci=host |
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ipセキュリティイベントの検索
セキュリティイベントの場合、同じ検索ですが、代わりに [イベント] フィールドに入力されます。このイベントはセキュリティインシデントに変わり、イベントに存在しないフィールドが入力された場合は、セキュリティインシデントに転送されます。それ以外の場合は、イベントとアラートの追加情報フィールドに残ります。
host=Development source="/CodeArchive/password/password_decrypt.cpp" |
eval type="Monitoring" |
eval node=host |
eval source=source
eval subcategory="Sensitive Data Monitoring" |
eval description=_raw |
eval source_ip=found_ip 注:
使用する検索条件によって、検索で見つかった数のレコードが追加されます。5 または 10,000,000,000 件のレコードを追加できます。したがって、これはデータの一括転送に推奨される方法ではありません。このメソッドの目的は、REST コールごとに 1 つのレコードを ServiceNow インスタンスに追加することです。