Use o editor de script para formatar valores de alerta para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Use o editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.

    Antes de Iniciar

    Além dos campos mapeados diretamente dos valores de alerta extraídos e dos valores de alerta inseridos manualmente, você pode, opcionalmente, usar o editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. O editor de script muda os valores de um alerta Splunk para que os valores compatíveis com o incidente de segurança Now Platform® Security Incident Response sejam mapeados para os campos Categoria, Item de configuração (IC) e Observável.

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Em determinados casos, os valores de alerta Splunk Enterprise são mapeados para os campos Categoria, Item de configuração (IC) e Observável no incidente SIR e não são compatíveis. Você pode preferir editar os valores mapeados. Se você quiser converter o valor de um alerta Splunk Enterprise para um valor compatível com esses campos no incidente de segurança SIR, use o editor de script.

    Procedimento

    1. Com o formulário de mapeamento exibido, clique no link para abrir o editor de script.
      Clique aqui no link do editor de script realçado.
    2. Na lista de seleção, selecione um campo de destino para o valor que você deseja editar.
    3. Como alternativa, na seção Mapeamento de campo de incidente SIR, clique no ícone de colchete [{}] ao lado de um campo para abrir o editor de script desse campo.

      Em determinadas instâncias, uma inclusão de script pode ser apropriada para o campo Item de configuração. Para um alerta, por exemplo, um valor para o item de configuração pode não ser correspondido.

      Conforme mostrado na figura a seguir, se uma correspondência para um nome de host não puder ser encontrada no Now Platform® CMBD para o campo Item de configuração, você poderá editar a regra para que, se um endereço IP for encontrado, ele preencha o campo Item de configuração. Se não houver valor para o alarme, o campo no incidente de segurança será definido como nulo.

      O editor é aberto com o campo exibido em Campo de destino. A imagem a seguir mostra o editor com o campo Item de configuração como o Campo de destino.
      Editor de scripts.
    4. Insira todas as mudanças no script e clique em Atualizar para salvar suas mudanças.
      A tabela Splunk Traduções de Campo é exibida.
    5. Feche a tabela para retornar ao formulário Mapeamento.