Automatische Erstellung von Security Incidents

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Überwachungstools von Drittparteien wie Splunk können in integriert werden Security Incident Response Damit aus diesen Tools importierte Sicherheitsereignisse automatisch Security Incidents generieren. Sie können auch Daten aus Drittanbietertools in Sicherheitswarnungen importieren.

    Zum Integrieren von Warnungsüberwachungstools in Security Incident Response, Sie müssen verwenden REST-API Zum Schreiben in die Tabelle „Security Incident-Import“ [sn_si_Incident_Import]. Dann mit Security Incident-Transformation Transformationszuordnungen , Die Quelltabelle des Importsatzes wird Feldern in der Tabelle „Ziel-Security Incident“ [sn_si.incident] zugeordnet.

    Wenn Sie versuchen, CI-Datensätze zu importieren, die von der Transformationszuordnung nicht erkannt werden, überprüft das Transformationszuordnungsskript den Datensatz auf Folgendes (in dieser Reihenfolge), um eine Übereinstimmung zu erzielen:
    • sys_id
    • CI-Name
    • Vollqualifizierter Domänenname
    • IP-Adresse
    Hinweis:
    Wenn Sie finden, dass Security Incident-Transformation Transformationszuordnung ist für das von Ihnen verwendete Drittanbieter-Warnungstool für die Warnungsüberwachung nicht ausreichend. Duplizieren Sie die Transformationszuordnung, erstellen Sie eine neue, und bearbeiten Sie die Felder nach Bedarf.