스크립트 편집기를 사용하여 통합에 대한 경보 값의 서식을 Splunk Enterprise Event Ingestion 지정합니다
매핑 단계 중에 스크립트 편집기를 사용하여 보안 인시던트의 필드 값을 포맷합니다.
시작하기 전에
끌어온 경보 값에서 직접 매핑된 필드와 수동으로 입력하는 경보 값 외에도, 선택적으로 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷할 수 있습니다. 스크립트 편집기는 보안 인시던트에서 Now Platform® 보안 인시던트 응답 지원하는 값이 범주, CI(구성 항목) 및 옵저버블 필드에 매핑되도록 경보 값을 Splunk 변경합니다.
필요한 역할: sn_si.admin
이 태스크 정보
경보 값이 인시던트의 범주, CI(구성 항목) 및 옵저버블 필드에 SIR 매핑되어 지원되지 않는 경우가 Splunk Enterprise 있습니다. 매핑된 값을 편집하는 것이 더 나을 수 있습니다. 경보 값을 Splunk Enterprise 보안 인시던트의 이러한 필드 SIR 에서 지원하는 값으로 변환하려면 스크립트 편집기를 사용합니다.
프로시저
-
매핑 양식이 표시되면 링크를 클릭하여 스크립트 편집기를 엽니다.
-
또는 SIR 인시던트 필드 매핑 섹션에서 필드 옆에 있는 대괄호 아이콘 [{}] 을 클릭하여 해당 필드의 스크립트 편집기를 엽니다.
경우에 따라 스크립트 포함이 구성 항목 필드에 적합할 수 있습니다. 예를 들어 경보의 경우 구성 항목의 값이 일치하지 않을 수 있습니다.
다음 그림에서 볼 수 있듯이 구성 항목 필드의 Now Platform® CMBD에서 호스트 이름과 일치하는 항목을 찾을 수 없는 경우 IP 주소가 발견되면 구성 항목 필드를 채우도록 규칙을 편집할 수 있습니다. 경보 값이 없으면 보안 인시던트의 필드가 null로 설정됩니다.
대상 필드에 필드가 표시된 상태로 편집기가 열립니다. 다음 이미지는 구성 항목 필드가 대상 필드인 편집기를 보여줍니다.