Vorschau des Security Incidents für anzeigen Splunk Enterprise Event Ingestion Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem zugeordnet haben ServiceNow AI Platform® Security Incident Response( SIR) Security Incident. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle Warnungsfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie eine Vorschau eines Security Incidents an, und bearbeiten Sie die Zuordnung nach Bedarf erneut, um Felder mit Fehlern zu beheben oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von SIR Security Incidents werden nicht als tatsächliche Incidents in gespeichert SIR Produkt.

    Prozedur

    1. Wenn die Security Incident-Vorschau nicht angezeigt wird, klicken Sie auf Vorschau In der Fortschrittsleiste.
    2. Wählen Sie aus Warnungsname Und wählen Sie dann ein Element aus der aus Beispiel für Warnungs-IDs Liste.
      Wählen Sie Warnungsauswahlliste erweitert aus.

      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.

    3. Überprüfen Sie die Feldzuordnung der Warnungswerte für den Security Incident.
      Fehlermeldung zu einem Security Incident in der Vorschau.

      Das vorangegangene Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel ist für einen Wert kein Feld im Security Incident vorhanden, oder das Feld unterstützt den von Ihnen zugeordneten Wert nicht. Eine Fehlermeldung wird angezeigt, die angibt, dass für keinen Eingabewert gefunden wurde Konfigurationselement Feld.

    4. Klicken Sie auf, um diesen Fehler zu beheben Zuordnung In der Fortschrittsleiste.
    5. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    6. Zeigen Sie erneut eine Vorschau der Zuordnung an, und beheben Sie alle Fehler, die in Fehlermeldungen beschrieben werden.

      Die folgende Abbildung ist ein Beispiel für die Registerkarte Incident-Details in der unteren Hälfte von SIR Security Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren ausgefüllt, die aus abgerufen wurden Splunk Enterprise Konsole. Das erste Feld „Arbeitsnotizen“ hat keinen Wert. Dieses Feld wurde während des Zuordnungsschritts im Zuordnungsraster leer gelassen. Die zusätzlichen Arbeitsnotizfelder mit Werten wurden dem Zuordnungsraster während des Zuordnungsschritts hinzugefügt.

      Felder „Arbeitsnotiz“ und „Beschreibung“ in der Security Incident-Vorschau.
    7. Nachdem Sie Fehler behoben und überprüft haben, ob die Felder so sind, wie Sie sie möchten, wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zeitplanung“ wird für Profile mit geplanten Warnungen angezeigt.

      Zeitplanung Ist im Fortschrittsbalken ausgewählt.
      Fertigstellen Klicken Sie für Profile, die für die manuelle Ereignisweiterleitung konfiguriert sind, auf Beenden . Es gibt keinen Planungsschritt für Profile mit Ereignisdaten, die bei Bedarf direkt aus exportiert werden Splunk Enterprise Konsole.
      Aktualisieren Ihre Daten werden gespeichert, und Sie werden zu zurückgegeben Splunk Ereignisprofilliste.
      Zurück Der Zuordnungsschritt auf der Fortschrittsleiste wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil und das Splunk Die Liste „Ereignisprofile“ wird angezeigt.

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, ist der nächste Schritt bis Planen und rufen Sie Warnungen für ab Splunk Enterprise Event Ingestion Integration.