Use o editor de script para formatar valores de evento de correlação para integração ArcSight ESM

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Além dos campos mapeados diretamente dos valores de evento de correlação ingeridos, use o editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    O editor de script muda os valores de um campo de evento de correlação ArcSight ESM para que os valores compatíveis com o incidente de segurança Now Platform SIR sejam mapeados para a Categoria, Item de configuração (IC), Observável e outros campos de incidente de segurança.

    Em determinados casos, os valores de evento de correlação ArcSight ESM são mapeados para campos de referência, como Categoria, Item de configuração (IC) e campos Observável no incidente de segurança. Como um usuário com a função sn_si.admin, talvez você prefira editar os valores de campo de evento mapeados para traduzir o formato ou os valores de dados para conformidade com os formatos de campo de incidente e valores esperados. Se você quiser traduzir o valor de um evento de correlação ArcSight ESM para um valor que seja compatível com esses campos no incidente de segurança SIR, use o editor de script.

    Procedimento

    1. Com o formulário de mapeamento exibido, clique no link para abrir o editor de script.
    2. Na lista de seleção, selecione um campo de destino para o valor que você deseja editar.
    3. Como alternativa, na seção Mapeamento de campo de incidente de SIR, clique no ícone de colchete [{}] ao lado de um campo para abrir o editor de script desse campo.

      Em determinadas instâncias, uma inclusão de script pode ser apropriada para o campo Item de configuração. Para um evento de correlação, por exemplo, um valor para o Item de configuração pode não ser correspondido.

      Conforme mostrado na figura a seguir, se uma correspondência para um nome de host não puder ser encontrada no Now Platform CMDB para o campo Item de configuração, você poderá editar a regra para que, se um endereço IP for encontrado, ele preencha o campo Item de configuração.

      O editor é aberto com o campo exibido no Campo de destino.
    4. Insira as mudanças no script e clique em Atualizar para salvar as mudanças.
      A tabela ArcSight ESM Traduções de campo é exibida.
    5. Feche a tabela para retornar ao formulário de mapeamento.