Utiliser l’éditeur de script pour formater LogRhythm les valeurs
En plus des champs directement mappés à partir des valeurs d’alarme extraites et des valeurs d’alarme que vous saisissez manuellement, vous pouvez utiliser l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage, qui est facultative.
Avant de commencer
Rôle requis : sn_si.admin
L’éditeur de script modifie les valeurs d’une LogRhythm alarme afin que les valeurs mappées aux champs Priorité et Catégorie de l’incident de sécurité soient prises en charge.
Pourquoi et quand exécuter cette tâche
Dans certains cas, si LogRhythm des valeurs d’alarme sont mappées aux champs Priorité et Catégorie de l’incident de sécurité, vous pouvez modifier les valeurs mappées. Si vous souhaitez convertir la valeur d’une LogRhythm alarme en une valeur prise en charge par les champs Priorité ou Catégorie de l’incident de sécurité, utilisez l’éditeur de script.
Procédure
-
Une fois le formulaire de mappage affiché, dans la section Mappage de champ d’incident SIR, cliquez sur l’icône d’accolade [{}] pour ouvrir l’éditeur de script.
Les valeurs par défaut sont incluses pour les champs Priorité et Catégorie de l’incident de sécurité. Vous pouvez modifier ces valeurs.
Pour cet exemple, dans l’éditeur ouvert, vérifiez que l’option Priorité est affichée dans la liste de choix Champ de destination , comme illustré dans la figure suivante. Notez que ce champ est la priorité de l’incident de sécurité, et non la priorité basée sur le LogRhythm risque.
Dans certains cas, un script include peut être approprié pour le champ Priorité . Pour une LogRhythm alarme, par exemple, un score de priorité basé sur le risque se voit affecter une valeur comprise entre 0 et 100. Toutefois, dans la Now Platform, le champ Priorité d’un incident de sécurité prend en charge des valeurs comprises entre 1 et 5. Comme illustré dans la figure précédente, un script include traduit les valeurs de champ d’alarme LogRhythm par les valeurs appropriées prises en charge par le champ de l’incident de sécurité dans le Now Platform.Dans cet exemple, pour le champ Priorité , si la valeur de l’alarme LogRhythm est supérieure ou égale à 80 , 1 s’affiche dans le champ d’incident de sécurité (Priorité). Cette valeur se traduit par une priorité critique dans l’incident de sécurité. S’il n’y a pas de valeur pour l’alarme, le champ de l’incident de sécurité est défini sur Null.
-
Fermez la table pour revenir au formulaire de mappage.
La figure suivante montre l’éditeur de script avec l’option Catégorie sélectionnée dans la liste de choix Champ de destination.
-
Si vous souhaitez ajouter un nouveau champ à la liste Traductions de champ, procédez comme suit pour ajouter un nouvel enregistrement.
-
Une fois le formulaire de mappage affiché, cliquez sur le lien Cliquer ici dans la section Mappage de champ d’incident SIR.La LogRhythm liste Traduction de champ avec les champs de destination de priorité et de catégorie s’affiche.
-
Cliquez sur Nouveau.
Un nouvel enregistrement s’affiche.
-
Dans la liste de choix Champ de destination, sélectionnez un champ de destination sur l’incident de sécurité pour lequel vous souhaitez afficher vos valeurs scriptées.
-
Une fois le formulaire de mappage affiché, cliquez sur le lien Cliquer ici dans la section Mappage de champ d’incident SIR.