Erstellen Sie ein Ereignisprofil

Sicherheitsmanagement Zürich

Release

zurich

ft:locale

de-DE

ft:publication_title

Sicherheitsmanagement Zürich

ft:clusterId

security

bundleId

security

workflow

Technology

Erstellen und benennen Sie ein Ereignisprofil

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

7 Minuten Lesedauer

Erstellen Sie ein Ereignisprofil in Ihrem ServiceNow AI Platform Instanz und bestimmen, welche Splunk Warnungen erstellen Security Incidents.

Vorbereitungen

Erforderliche Rolle: sn_si.ingestion_profile_admin

Hinweis:

Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

Warum und wann dieser Vorgang ausgeführt wird

Vor ServiceNow AI Platform Security Incident Response( SIR) Security Incidents werden aus erfassten Warnungen erstellt, die Feldwerte aus Warnungen werden in einem Layout von angezeigt ServiceNow AI Platform Security Incident, damit Sie eine Vorschau darauf anzeigen können, wie der tatsächliche Security Incident angezeigt wird.

Aus Integrationsperspektive mithilfe verfügbarer APIs: Splunk Ereignisse werden einzeln und manuell als diskrete Ereignisse weitergeleitet oder zu ausgelösten Warnungen kombiniert, die automatisch in erfasst werden Security Operations Umgebung von ServiceNow AI Platform Instanz. Die Integrations-Workflows erfassen verschiedene Arten von Warnungen, z. B. nicht autorisierte Zugriffsversuche und Malware.

Diese Warnungen werden basierend auf den Profilen erfasst, die Sie in konfigurieren Security Operations Umgebung Ihrer Instanz. Alle Warnungen werden anfänglich für einen konfigurierten Warnungstyp in einem Profil erfasst. Erfasste Warnungen können dann weiter gefiltert werden, um anzugeben, welche Warnungen Security Incidents erstellen. Sie können beispielsweise Filter bevorzugen, die Security Incidents nur für Warnungen erstellen, die als hohes Risiko identifiziert werden. Bevor ein Profil aktiviert wird und Security Incidents aus erfassten Warnungen erstellt, werden einzelne Feldwerte in den gefilterten Warnungen den entsprechenden Feldern in einem Layout von Security Incidents zugeordnet, um eine Vorschau anzuzeigen.

Warnungsnamen für Ereignisprofile in Ihrem ServiceNow AI Platform Die Instanz muss eindeutig sein und kann jeweils nur einem aktiven Ereignisprofil zugeordnet werden. Dies sind die Namen der ausgelösten Warnungen, die Sie in konfiguriert haben Splunk Service als Teil des Setups für die Integration. Weitere Informationen zum Konfigurieren von Warnungen in finden Sie in Splunk Enterprise Umgebung, siehe Speichern Sie Suchvorgänge in Splunk Enterprise-Konsole für Splunk Enterprise Event Ingestion Integration.

Die ServiceNow AI Platform Erfasst bestimmte Warnungen mithilfe der Workflows der Integration. Alle Warnungen, die die Auswahlkriterien in erfüllen Splunk enterprise-Konsole wird anfänglich in erfasst ServiceNow AI Platform Instanz.

Ein Profil in Ihrem ServiceNow AI Platform Ist eine Kapselung von Splunk Warnung in Ihrem Splunk enterprise-Konsole. Es besteht eine 1-zu-1-Beziehung zwischen Warnungen, die mit einem Profil erfasst werden, und Verbindungen mit Ihrem Splunk enterprise-Konsole: Eine Warnung für eine Verbindung. Es gibt eine einzelne HTTP-Verbindung zu einem Suchkopf in Ihrem Splunk Enterprise Konsole. Mehrere Warnungen können von einem einzigen Suchkopf stammen. Wenn Sie eine Verbindung zu mehreren Suchköpfen in herstellen Splunk Enterprise-Konsole müssen Sie mehrere Profile in erstellen ServiceNow AI Platform Instanz zum Erfassen dieser Warnungen.

Schritte zum Erstellen von Profilen für die geplante Warnungserfassung

Prozedur

Um ein Ereignisprofil für eine Warnung zu erstellen, in ServiceNow AI Platform Instanz, navigieren Sie zu Splunk ES-Integration > Splunk ES-Ereignisprofilean.
Wenn Splunk Formular „Ereignisprofil“ wird nicht angezeigt. Klicken Sie auf Name In der Fortschrittsleiste.
Klicken Sie auf Neu.

Füllen Sie die Felder aus.

Ein Beispiel für ein ausgefülltes Formular folgt der Tabelle.


Feld	Beschreibung
Name	Eindeutiger Name für das Profil. Wenn Namen nicht eindeutig sind, werden keine doppelten Profilnamen gespeichert. Profilnamen in Ihrem ServiceNow AI Platform Instanz muss eindeutig sein.
Aktiv	Das Kontrollkästchen ist standardmäßig deaktiviert. Die Option aktiv ist deaktiviert und kann erst ausgewählt werden, wenn Sie alle Konfigurationsschritte des Profils abgeschlossen haben und auf klicken Beenden .
Typ	Wählen Sie den Profiltyp aus der Auswahlliste aus. Geplante Warnungserfassung: Dieser Profiltyp unterstützt ausgelöste Warnungen, die nach einem von Ihnen konfigurierten Zeitplan erfasst werden. Füllen Sie die Felder aus, und klicken Sie auf Fahren Sie Fort Um mit dem Schritt „Warnungsauswahl“ des Profils fortzufahren. Manuelle Ereignisweiterleitung: Dieser Profiltyp unterstützt einzelne Ereignisse, die manuell von Ihrem weitergeleitet werden Splunk Enterprise Konsole bei Bedarf. Lesen Sie die folgenden Schritte, um das Formular für diese Profiltypen auszufüllen.
Quelltyp	Splunk Server- oder Suchende, die Sie zum Erfassen von Warnungen konfiguriert haben. Wenn Sie mehrere haben Splunk Server konfiguriert, wählen Sie den entsprechenden Server für die Warnungstypen aus, die Sie für das Profil erfassen möchten. Sie müssen einen Wert eingeben.
Reihenfolge	Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert. Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Laufzeitausführungspriorität an, wenn zwei oder mehr Profile dieselben Auslösebedingungen haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Profilnamensformular für eine geplante Warnung abgeschlossen.

Wählen Sie für ein Profil mit einer geplanten Warnung eine Option aus, um mit der Profilkonfiguration fortzufahren.

Option	Beschreibung
Fortsetzen	Speichern Sie das Profil und den Fortschritt im Schritt „Warnungsauswahl“.
Aktualisieren	Speichern Sie Aktualisierungen an diesem Profil, und kehren Sie zu zurück Splunk Ereignisprofilliste.
Speichern	Speichern Sie dieses Profil, und bleiben Sie auf der Seite.
Löschen	Löschen Sie diesen Profildatensatz, und kehren Sie zu zurück Splunk Ereignisprofilliste.

Schritte zum Erstellen von Profilen für die manuelle Ereignisweiterleitung

Führen Sie die folgenden Schritte aus, um ein Profil zu erstellen, das die manuelle Ereignisweiterleitung unterstützt.

Für Ereignisse, die Sie bei Bedarf von Ihrem weiterleiten Splunk enterprise-Konsole können Sie die individuelle Feldzuordnung auf einem beliebigen vorhandenen Profil basieren. Alternativ können Sie ein neues Zuordnungsraster für exportierte Anhangsdaten erstellen. Ereignisse, die Sie manuell weiterleiten, sind im Ereignisprofil nicht geplant.

Wenn nicht bereits ausgewählt, wählen Sie in der Auswahlliste für das Feld Typ die Option aus Manuelle Ereignisweiterleitung .

Wählen Sie im angezeigten Feld Zuordnungsoption aus der Auswahlliste eine Zuordnungsoption aus, um fortzufahren.

Weitere Informationen zu den verfügbaren Zuordnungsoptionen in der Auswahlliste Zuordnungsoptionen finden Sie in den folgenden Abbildungen und Tabellen.

Zuordnungsoptionsfeld hervorgehoben. — Abbildung : 1. Erstellen Sie eine neue Feldzuordnungsoption

Tabelle : 1. Option „neue Feldzuordnung erstellen“
Option oder Feld	Beschreibung
Erstellen Sie eine neue Feldzuordnungsoption	Neue Feldzuordnung für Ihr Ereignis. Wenn Sie keine Feldzuordnung haben, die dem Profil ähnelt, das Sie erstellen, wählen Sie diese Option aus, um eine neue Zuordnung zu erstellen.
Standardprofil	Standardmäßiges Ereignisweiterleitungsprofil für alle Splunk Ereignisse. Standard ist gelöscht (deaktiviert). Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil ist das einzige Profil, das für jeden aktiv ist und verwendet wird Splunk Ereignisfeldzuordnung zu SIR Security Incident. Ein Profil passt auf alle weitergeleiteten Ereignisse. Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelltyp	Splunk Server. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist. Falls verfügbar, ermöglicht die Option Quelltyp die Zuordnung eindeutiger Ereignisfelder zu Security Incident-Feldern basierend auf Splunk Quelltyp. Wenn Sie Firewall-Protokollereignisse anders als Endpunkterkennungsereignisse verwalten möchten und sich unterscheiden Splunk Quelltypen können Sie verschiedene Ereignisprofile basierend auf Quelltypen erstellen, um diese Anforderung zu erfüllen.
Reihenfolge	Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert. Wenn Sie eine große Anzahl von Profilen erstellt haben, bietet dieser Wert eine Laufzeitausführungspriorität, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Überprüfen Sie für ein Profil mit einer neuen Feldzuordnung, ob Sie einen Wert in das Feld Quelltyp eingegeben haben, und klicken Sie auf Fahren Sie Fort Um mit dem Zuordnungsschritt der Konfiguration fortzufahren.

Weitere Informationen zu einem Profil mit einer vorhandenen Feldzuordnung finden Sie in der folgenden Abbildung und Tabelle.

Suchsymbol für Option „vorhandene Zuordnung kopieren“ hervorgehoben. — Abbildung : 2. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus

Tabelle : 2. Wählen Sie ein vorhandenes Profil für die Feldzuordnungsoption aus
Option oder Feld	Beschreibung
Vorhandenes Profil für Feldzuordnung auswählen	Eine vorhandene Feldzuordnung für Ihr Ereignis. Das Feld aus Profil kopieren wird angezeigt. Führen Sie die folgenden Schritte aus, um eine vorhandene Feldzuordnung für dieses Profil zu kopieren. Klicken Sie links neben dem angezeigten Feld aus Profil kopieren auf das Suchsymbol. In Splunk Liste der Ereignisprofile, die angezeigt wird, klicken Sie auf den Profilnamen, der die zu kopierende Zuordnung enthält. Der Profilname wird im Feld aus Profil kopieren angezeigt.
Standardprofil	Standardmäßiges Ereignisweiterleitungsprofil für alle Splunk Ereignisse. Standard ist gelöscht (deaktiviert). Wenn diese Option aktiviert ist, wird dieses Profil zum Standardprofil für die manuelle Ereignisweiterleitung. Dieses Profil ist das einzige aktive Profil. Wird für jeden verwendet Splunk Ereignisfeldzuordnung zu SIR Security Incident. Ein Profil passt auf alle weitergeleiteten Ereignisse. Das Feld Quelle ist nicht verfügbar, wenn die Standardprofiloption aktiviert ist.
Quelltyp	Splunk Server. Dieses Feld ist nicht verfügbar, wenn die Standardprofiloption ausgewählt ist. Falls verfügbar, ermöglicht die Option Quelltyp die Zuordnung eindeutiger Ereignisfelder zu Security Incident-Feldern basierend auf Splunk Quelltyp. Wenn Sie Firewall-Protokollereignisse anders als Endpunkterkennungsereignisse verwalten möchten und sich unterscheiden Splunk Quelltypen können Sie verschiedene Ereignisprofile basierend auf Quelltypen erstellen, um diese Anforderung zu erfüllen.
Reihenfolge	Der Standardwert ist 100. Belassen Sie diese Einstellung auf den Standardwert. Wenn Sie mehrere Profile erstellt haben, gibt dieser Wert eine Laufzeitausführungspriorität an, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam haben. Der Workflow im Profil mit der niedrigsten Zahl hat die höchste Priorität.
(Optional) Beschreibung	Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.

Klicken Sie unten im Formular zur Auswahl einer vorhandenen Zuordnung für Ihr Profil auf Beenden Um die Profilkonfiguration abzuschließen.

Nächste Maßnahme

Sie haben die Schritte zum Erstellen von Profilen für geplante Warnungen und die manuelle Ereignisweiterleitung erfolgreich abgeschlossen. Für Profile für die manuelle Ereignisweiterleitung haben Sie die Profilkonfiguration abgeschlossen. Der nächste Schritt besteht darin, Anhangsdaten im Zuordnungsschritt zu laden.

Für Profile für geplante Warnungen besteht der nächste Schritt darin, Warnungen für die automatische Erfassung auszuwählen.