Criação automática de incidente de segurança
Ferramentas de monitoramento de terceiros, como Splunk, podem ser integradas a Security Incident Response para que os eventos de segurança importados dessas ferramentas gerem automaticamente incidentes de segurança. Você também pode importar dados de ferramentas de terceiros para alertas de segurança.
Para integrar ferramentas de monitoramento de alertas ao Security Incident Response, você deve usar a REST API para gravar na tabela Importação de incidentes de segurança [sn_si_incident_import]. Em seguida, usando os mapas de transformaçãode Transformação de incidente de segurança, a tabela de origem do conjunto de importação é mapeada para campos na tabela Incidente de segurança [sn_si.incident] de destino.
Se você tentar importar registros de IC que não são reconhecidos pelo mapa de transformação, o script do mapa de transformação verificará o registro para o seguinte (nesta ordem) em uma tentativa de fazer uma correspondência:
- sys_id
- Nome do IC
- nome de domínio totalmente qualificado
- Endereço IP
Nota:
Se você descobrir que o mapa de transformação de transformação de incidente de segurança não é adequado para a ferramenta de monitoramento de alertas de terceiros que você está usando, duplique o mapa de transformação, crie um novo e edite os campos, conforme necessário.