Ordnen Sie Warnungen für zu Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 10 Minuten Lesedauer

    • Während des Schritts „Ereignisfeldzuordnung“ ordnen Sie einzelne Ereignisfelder aus ausgelösten Warnungen oder importierten Ereignisdaten Feldern auf einem zu ServiceNow AI Platform Security Incident Response( SIR) Security Incident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Das vorkonfigurierte Zuordnungsraster der standardmäßigen Security Incident-Felder kann bearbeitet werden. Die Farbcodierung der Ereignisfelder hilft Ihnen, die Feldwerte zu überwachen, die Sie bereits zugeordnet haben. Mit diesem Schritt können Sie visualisieren, wie sich Ihre Änderungen auf die Felder für den Security Incident auswirken.

    Ordnen Sie bis zu fünf Warnungen aus der Spalte „Warnungsbeispielerfassung“ auf der linken Seite des Formulars den Security Incident-Feldern in der Spalte „SIR-Incident-Feldzuordnung“ auf der rechten Seite zu.

    Erstellen Sie anwenderdefinierte Karten, indem Sie die Felder im Zuordnungsraster auf der rechten Seite des Formulars hinzufügen oder entfernen. Durch das Anpassen der Felder können Sie zuordnen Splunk Felder, die nicht im Standardzuordnungsraster auf angezeigt werden SIR Security Incident.

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste.
    2. Wählen Sie für ein Profil mit einer geplanten Warnung unter „Alarmbeispielerfassung“ die Warnung im aus Warnungsname Und klicken Sie auf Rufen Sie Beispieldaten Ab Zum Abrufen der neuesten Instanz einer ausgelösten Warnung aus dem Splunk Enterprise Konsole.

      Die Warnungen werden als Registerkarten angezeigt. Sie können bis zu fünf der neuesten Warnungen erfassen.

      Der Abruf für Beispielereignisse kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt.

      Hinweis:
      Ein zusätzliches Zuordnungsfeld, Splunk-Warnungsname , Wird von der Integration hinzugefügt, um ein Ereignis bis zur Quellwarnungsregel in nachzuverfolgen Splunk. Dies kann in Szenarien hilfreich sein, in denen mehrere auftreten Splunk Warnungen werden in einem einzelnen Profil kombiniert.

      Wenn ein einzelnes Feld mehrere Werte enthält, werden diese Werte analysiert und einzelnen Feldeinträgen im SIR-Incident-Feldzuordnungsabschnitt zugeordnet. Beispielsweise können die Quell-IP-Adressen, Asset-Namen oder URLs mehrere erkennbare Feldeinträge oder mehrere CIs aufweisen. Diese werden analysiert und einzelnen Feldeinträgen im SIR-Incident-Feldzuordnungsabschnitt zugeordnet.

      In der folgenden Abbildung werden die Feld-Name-Wert-Paare für die erfasste Warnung oder das importierte Beispielereignis auf der linken Seite dieses Formulars angezeigt, nachdem der Abruf abgeschlossen ist. Diese Werte sind die Werte, die Sie den Security Incident-Feldern auf der Seite „SIR-Incident-Feldzuordnung“ des Formulars zuordnen.

      Rufen Sie die hervorgehobenen Beispieldaten und erfassten Warnungswerte ab.
    3. Fahren Sie für geplante Warnungsprofile mit Schritt fünf fort, um die Werte zuzuordnen.
    4. Alternativ für ein Profil für einen Ereignistyp, den Sie aus exportieren möchten Splunk Enterprise Konsole führen Sie die folgenden Schritte aus, um Anhangsdaten in hochzuladen ServiceNow AI Platform® Instanz.
      1. Wenn Sie sich noch nicht angemeldet haben, melden Sie sich bei an Splunk Enterprise Konsole.
      2. Navigieren Sie zur Registerkarte Suche, und geben Sie einen Namen für eine Suche mit den Ereignisdaten ein, die Sie exportieren möchten.

        Beispielsweise ist Malware ein Suchbegriff, der für alle Malware-Ereignisse verwendet wird, die Sie mit dem Workflow dieser Integration weiterleiten können.

      3. Erweitern Sie das Ereignis, und wählen Sie in der Spalte Feld die Felder aus, die Sie importieren möchten.

        Diese Felder sind die Feld-Wert-Paare, die exportiert und auf der Zuordnungsseite in angezeigt werden ServiceNow AI Platform® Instanz.

      4. In Ihrem Splunk Enterprise Konsole klicken Sie oben rechts auf der Suchseite auf Exportieren Symbol.
      5. Klicken Sie in der Liste für das Feld Format im angezeigten Dialogfeld auf XML-Format .
      6. Wahlweise: Geben Sie einen neuen Dateinamen ein.
      7. Klicken Sie auf Exportieren.
        Die Datei wird auf heruntergeladen ServiceNow AI Platform® Instanz.
      8. Wenn die Zuordnungsseite nicht bereits in angezeigt wird ServiceNow AI Platform® Instanz, klicken Sie auf Zuordnung In der Fortschrittsleiste.
      9. Klicken Sie in der Spalte Warnungsbeispielerfassung auf Laden Sie Anhangsdaten .
        Schaltfläche „Anhangsdaten laden“ hervorgehoben.
      10. Klicken Sie im angezeigten Dialogfeld auf Wählen Sie Dateien aus Und navigieren Sie zu .Xml Datei, die Sie exportiert haben, und klicken Sie auf Öffnen .
        Die Wertpaare für die Felder, die Sie für das Ereignis exportiert haben, werden auf der linken Seite des Zuordnungsformulars angezeigt.

        In der folgenden Abbildung werden die Datenpaare für eine erfasste geplante Warnung auf der linken Seite dieses Formulars angezeigt. Wertepaare für importierte Ereignisse werden auch auf dieser Seite des Formulars angezeigt. Diese Werte sind die Feldwerte, die Sie den Security Incident-Feldern auf der Seite „Sir Incident-Feldzuordnung“ des Formulars zuordnen.

    5. Um einen Feldwert von der linken Seite des Formulars einem Feld im Security Incident auf der rechten Seite des Formulars zuzuordnen, klicken Sie auf der linken Seite des Formulars auf einen blauen Feldnamen.
    6. Ziehen Sie den Feldnamen, z. B. Kategorie , Und legen Sie es in einem Feld in der Spalte „Eingabeausdruck“ neben einem Feldnamen in der Spalte „Security Incident“ ab.
      Drag-and-Drop für Werte, die durch Pfeil angezeigt werden.

      Der Feldwert wird in der Spalte „Eingabeausdruck“ angezeigt. In der folgenden Abbildung: Kategorie Ist dem zugeordnet Kategorie Feld im Security Incident. Sie können jedoch einen beliebigen Wert von der linken Seite mit einem Feld auf der rechten Seite abgleichen. Stellen Sie sicher, dass der Wert dem Security Incident während des Vorschauschritts korrekt zugeordnet ist.

      Damit Sie sicherstellen können, dass im Zuordnungsprozess keine Ereignisse übersehen oder dupliziert werden, sind Felder farbcodiert. Hellblaue Felder auf der linken Seite zeigen an, dass noch kein Feld ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Warnungsfeld mit mehr als einem Feld in einem Security Incident verknüpfen.

      Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Diese Farbcodierung hilft Ihnen, die Zuordnung nachzuverfolgen, da Warnungsereignisfelder in bestimmten Fällen nur einmal zugewiesen werden können. Beispielsweise können Sie Feldern wie Kurzbeschreibung nur einmal Werte zuweisen. Sie können jedoch Listenfelder wie Arbeitsnotiz mehrmals zuweisen, indem Sie dem Zuordnungsraster zusätzliche Zeilen hinzufügen.

      Kategoriefeld und Wert für Security Incident hervorgehoben.
    7. Führen Sie die folgenden Schritte aus, um der Standardzuordnung des Security Incident auf der rechten Seite des Formulars Felder hinzuzufügen.
      1. Klicken Sie auf der rechten Seite des Formulars im Abschnitt „SIR-Incident-Feldzuordnung“ unten im Raster auf das Plus-Symbol.
        Fügen Sie Felder hinzu.
        Ein neues Feld wird angezeigt.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie ein Feld aus.

        In der erweiterten Liste für das neue Feld sind einige Felder schattiert. In der folgenden Abbildung: Kategorie Hat einen grauen Hintergrund, da er im Security Incident zugeordnet wurde. Ähnlich wie die Farbcodierung für Warnungsfelder auf der linken Seite des Formulars hilft diese Farbcodierung für die Security Incident-Felder auf der rechten Seite Ihnen, die Zuordnung nachzuverfolgen.

        Standortfeld in der Auswahlliste für das neue Feld.
        Hinweis:
        Damit mehrere erkennbare Elemente für denselben Security Incident angezeigt werden können, kann das Feld „erkennbares Element“ mehrmals verschiedenen Werten zugeordnet werden. Ebenso unterstützen die Felder „Konfigurationselement“ und „Arbeitsnotizen“ mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird bei der Vorschau des Incident eine Fehlermeldung angezeigt, dass für das Feld kein Wert vorhanden ist. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Alternativ können Sie einen Wert in das Suchfeld für die neue Zeile eingeben.
      4. Klicken Sie auf der linken Seite des Formulars mit der linken Maustaste, um auszuwählen Warnungs-ID Die Sie im Feld Eingabeausdruck wünschen.
        Ordnen Sie sie mit der Drag-Funktion neben Ihrem neuen Feld zu.
    8. Fahren Sie mit der Zuordnung fort, indem Sie Felder hinzufügen oder entfernen und der Zuordnung Werte hinzufügen.
      Die folgende Abbildung zeigt ein Beispiel für ein bearbeitetes Zuordnungsraster. Im unteren Feld rechts wird das Feld Arbeitsnotizen hinzugefügt, das mehr als einen Wert hat. Die Werte sind durch Leerzeichen und Interpunktionszeichen ( Kategorie:${category} | Ziel-IP:78.146.73.180 ).
      Arbeitsnotizen mit mehreren hervorgehobenen Werten.

      In der Vorschau werden diese Werte in den Arbeitsnotizen zum Security Incident angezeigt. Da der Wert für ein Feld gilt, das Sie dem Raster hinzugefügt haben, und dem Feld Arbeitsnotizen mehrere Werte zugeordnet sind, werden die Werte wie eingegeben angezeigt. In diesem Beispiel werden die Leerzeichen und Interpunktionszeichen, die Sie in das Feld eingegeben haben, im Abschnitt „zugehörige Elemente“ als Arbeitsnotiz in der Vorschau des Security Incident angezeigt.

      Die folgende Abbildung zeigt, wie die Werte im vorherigen Bild für den Security Incident angezeigt werden.

      Feldwert für Arbeitsnotiz, der für Security Incident angezeigt wird.

      Filterbedingungen für die Incident-Generierung

    9. Wahlweise: Nachdem Sie die vorherigen Zuordnungsschritte auf Feldebene abgeschlossen haben, können Sie dieselben Feldwerte im Generator für Filterbedingungen verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Warnung erfüllen muss, um einen zu erstellen SIR Security Incident.
      Um Filterbedingungen festzulegen, gehen Sie wie folgt vor.
      1. Scrollen Sie im Formular zum Abschnitt Bedingungen für die Incident-Generierung, und wählen Sie aus Filtern Sie basierend auf Bedingungen Kontrollkästchen zum Aktivieren der Option.

        Der Generator für Filterbedingungen wird angezeigt. Verwenden Sie diese Filter, um Security Incidents zu erstellen, die den spezifischen Bedingungen entsprechen, die in den Feldern beschrieben werden.

        Die Optionen in den Listen für das erste Feld im Generator für Filterbedingungen entsprechen den Feldern, die im Abschnitt „Warnungsbeispielerfassung“ für die von Ihnen erfasste Warnung angezeigt werden. Diese Felder sind dynamisch und ändern sich je nach Splunk Warnung, die Sie erfassen, oder das Ereignis, das Sie manuell weiterleiten. Bei den von Ihnen eingegebenen Kriterien wird zwischen Groß- und Kleinschreibung unterschieden und müssen genau mit den Werten von übereinstimmen Splunk Enterprise Warnung oder Ereignis. Wenn Sie sich nicht sicher sind, welche Werte in die Filterfelder eingegeben werden sollen, kehren Sie möglicherweise zu zurück Splunk Enterprise Konsole und überprüfen Sie Ihre Warnungen und Ereignisse auf die Stichwörter.

        Generator für Filterbedingungen.
      2. Legen Sie mithilfe der Listen und Felder des Bedingungsgenerators Filter für die erste Zeile fest.
      3. Um weitere Bedingungen hinzuzufügen, klicken Sie rechts neben den Feldern auf UND Oder ODER .
        Wenn UND Ist ausgewählt, müssen alle Bedingungen erfüllt sein. Wenn ODER Ist ausgewählt, kann eine der Bedingungen erfüllt werden.
      4. Wahlweise: Legen Sie in der zweiten Zeile eine zweite Filterbedingung fest.

        Die folgende Abbildung zeigt ein Beispiel mit zwei Bedingungen, die erfüllt werden müssen, bevor Security Incidents erstellt werden.

        Generator für Filterbedingungen.

        Sie haben die Auslösebedingungen so festgelegt, dass Security Incidents nur erstellt werden, wenn beide von Ihnen eingegebenen Filterbedingungen erfüllt sind.

        Diese Art der Filterung hilft Ihnen, Sicherheitsereignisse zu isolieren und die Anzahl der von Ihnen erstellten Security Incidents zu begrenzen. Wenn zusätzliche Filterkriterien festgelegt sind, werden nur erforderliche Warnungen erfasst, ohne dass geändert werden muss Splunk Abfrage oder Konfiguration der ausgelösten Warnung.

        Zusammenfassungswarnungen, um doppelte Incidents zu verhindern

    10. Wahlweise: Um zu vermeiden, dass doppelte Security Incidents erstellt werden, definieren Sie zusätzliche Incident-Feldkriterien, damit eingehende Warnungen zu einem offenen Security Incident zusammengefasst werden.
      Um diese Kriterien festzulegen, führen Sie die folgenden Schritte aus.
      1. Scrollen Sie im Formular zum Abschnitt Warnungszusammenfassungskriterien, und aktivieren Sie das Kontrollkästchen Aggregatbedingungen, um diese Option zu aktivieren.

        Die Spalten „Incident-Feld-Übereinstimmungswerte“ werden angezeigt. Diese Feldnamen sind die Felder im Security Incident, die alle anwenderdefinierten Felder enthalten, die in konfiguriert sind SIR Security Incident.

        Slushbucket für Zusammenfassungskriterien.
      2. Wählen Sie in der Liste verfügbar die Feldwerte aus, die Sie für vorhandene Security Incidents in abgleichen möchten ServiceNow AI Platform Und verschieben Sie sie in die Liste ausgewählt.

        Alle von Ihnen ausgewählten Feldwerte müssen abgeglichen werden, um diese eingehende Warnung an einen vorhandenen Security Incident anzuhängen. Wenn Sie Feldwerte für Security Incidents überprüfen möchten, die für diese Kriterien verwendet werden sollen, navigieren Sie zu Incidents > Alle Incidents anzeigenan.

        Wenn eine neue Warnung allen Werten entspricht, die im Zuordnungsschritt in den Bedingungen des Zusammenfassungsfelds ausgewählt sind, wird die Warnung automatisch dem zuletzt geöffneten Security Incident mit denselben Feldwerten hinzugefügt. Als Anwender mit der Rolle „sn_si.Analyst“, der mit Security Incidents arbeitet, können Sie alle hinzugefügten aggregierten Warnungen in einer zugehörigen Liste zu einem Security Incident anzeigen. Alle zusammengefassten Warnungen zu einem Security Incident werden auf der angezeigt Splunk Zugehörige Liste „Ereignis zu Aufgaben“. Diese Liste enthält Details zu zugeordneten Zeitstempeln und zusammengefassten Feldwerten. Diese Informationen helfen Ihnen zu verstehen, warum Warnungen vorhandenen Security Incidents hinzugefügt werden. Wenn diese Registerkarte nicht angezeigt wird, scrollen Sie unter zugehörige Links zur linken Seite des Datensatzes, und klicken Sie auf Alle Zugehörigen Listen Anzeigen Link.

        Splunk-Ereignis in zugehörige Liste „Aufgaben“ hervorgehoben.
      3. Wahlweise: Um eine Arbeitsnotiz für eine neue Warnung zu protokollieren, die kürzlich zum Security Incident hinzugefügt wurde, aktivieren Sie das Kontrollkästchen, um diese Option zu aktivieren.
        Die Arbeitsnotiz protokolliert, dass eine neue Warnung zusammen mit einem Link zu den Warnungsdetails hinzugefügt wurde.
      Sie haben erfolgreich Werte aus einem zugeordnet Splunk Warnung oder Ereignis an Felder in einem SIR Security Incident. Außerdem haben Sie zusätzliche Bedingungen konfiguriert, um die Erstellung von Security Incidents mit Filterkriterien einzuschränken. Sie haben auch Warnungen oder Ereignisse an vorhandene angehängt SIR Security Incidents.
    11. Wahlweise: Öffnen Sie den Skripteditor, und fahren Sie mit der Bearbeitung fort.

      Weitere Informationen zum Skript-Editor finden Sie unter Verwenden Sie den Skript-Editor, um Warnungswerte für zu formatieren Splunk Enterprise Event Ingestion Integration.

    12. Wählen Sie eine Option aus, um mit der Profilkonfiguration fortzufahren.
      OptionBeschreibung
         
      Fortsetzen Das Formular „Zuordnung“ wird angezeigt.

      Vorschau Ist im Fortschrittsbalken ausgewählt. Der nächste Schritt besteht darin, eine Vorschau der Felder anzuzeigen, die Sie einem zugeordnet haben SIR Security Incident.
      Aktualisieren Ihre Daten und werden gespeichert Splunk Die Liste „Ereignisprofile“ wird angezeigt.
      Zurück Das Formular „Warnungsauswahl“ wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil und das Splunk Die Liste „Ereignisprofile“ wird angezeigt.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, eine Vorschau der Werte anzuzeigen, die Sie dem Security Incident zugeordnet haben.