Verwenden Sie den Skript-Editor, um LogRhythm -Werte zu formatieren
Zusätzlich zu den direkt zugeordneten Feldern aus den abgerufenen Alarmwerten und den manuell eingegebenen Alarmwerten können Sie den Skript-Editor verwenden, um Feldwerte im Security Incident während des optionalen Zuordnungsschritts zu formatieren.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Der Skript-Editor ändert die Werte eines LogRhythm -Alarms, sodass die Werte unterstützt werden, die den Feldern Priorität und Kategorie des Security Incident zugeordnet sind.
Warum und wann dieser Vorgang ausgeführt wird
In bestimmten Fällen, wenn LogRhythm Alarmwerte den Feldern Priorität und Kategorie des Security Incident zugeordnet sind, sollten Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert eines LogRhythm -Alarms in einen Wert übersetzen möchten, der von den Feldern „ Priorität “ oder „ Kategorie “ des Security Incident unterstützt wird, verwenden Sie den Skript-Editor.
Prozedur
-
Klicken Sie bei angezeigtem Zuordnungsformular im Abschnitt „SIR-Incident-Feldzuordnung“ auf das Klammersymbol [{}], um den Skript-Editor zu öffnen.
Die Standardwerte sind für die Felder Priorität und Kategorie im Security Incident enthalten. Sie können diese Werte bearbeiten.
Überprüfen Sie für dieses Beispiel im geöffneten Editor, ob Priorität in der Auswahlliste Zielfeld angezeigt wird, wie in der folgenden Abbildung dargestellt. Beachten Sie, dass dieses Feld die Security Incident- Prioritätund nicht die risikobasierte LogRhythmPrioritätist.
In bestimmten Fällen kann eine Skripteinbindung für das Feld Priorität geeignet sein. Für einen LogRhythm -Alarm wird beispielsweise einer risikobasierten Prioritätspunktzahl ein Wert zwischen 0 und 100 zugewiesen. In Now Platformunterstützt das Prioritätsfeld eines Security Incident jedoch Werte zwischen 1 und 5. Wie in der vorherigen Abbildung dargestellt, übersetzt eine Skripteinbindung die Alarmfeldwerte LogRhythm in die entsprechenden Werte, die vom Feld im Security Incident in Now Platformunterstützt werden.Wenn in diesem Beispiel für das Feld Priorität der Alarmwert LogRhythm80 oder größer ist, wird im Security Incident-Feld (Priorität ) 1angezeigt. Dieser Wert wird im Security Incident in eine kritische Priorität übersetzt. Wenn für den Alarm kein Wert vorhanden ist, wird das Feld im Security Incident auf null gesetzt.
-
Schließen Sie die Tabelle, um zum Formular „Zuordnung“ zurückzukehren.
Die folgende Abbildung zeigt den Skript-Editor mit Kategorie, die in der Auswahlliste Zielfeld ausgewählt ist.
-
Wenn Sie der Liste „Feldübersetzungen“ ein neues Feld hinzufügen möchten, führen Sie die folgenden Schritte aus, um einen neuen Datensatz hinzuzufügen.
-
Wenn das Zuordnungsformular angezeigt wird, klicken Sie im Abschnitt „SIR-Incident-Feldzuordnung“ auf den Link Hier klicken.Die Liste LogRhythm Feldübersetzung mit den Feldern „ Priorität “ und „Kategorieziel“ wird angezeigt.
-
Klicken Sie auf „Neu“.
Ein neuer Datensatz wird angezeigt.
-
Wählen Sie in der Auswahlliste Zielfeld ein Zielfeld im Security Incident aus, in dem Ihre geskripteten Werte angezeigt werden sollen.
-
Wenn das Zuordnungsformular angezeigt wird, klicken Sie im Abschnitt „SIR-Incident-Feldzuordnung“ auf den Link Hier klicken.