Selecione alertas agendados para Splunk Enterprise Event Ingestionintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Depois de criar um perfil para um alerta agendado, selecione um Splunkalerta para este perfil que você deseja mapear para um Now Platform Resposta a incidentes de segurançaincidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Exiba os alertas disponíveis no Now Platformpara que você saiba quais valores de campo estão disponíveis para mapeamento. Selecione um alerta para verificar se você recebeu os resultados esperados no layout do formulário básico antes de mapear os valores para campos em SIRincidentes de segurança. Você só pode selecionar um alerta na lista neste formulário.

    Procedimento

    1. Se a página Seleção de alerta não for exibida, selecione-a na barra de andamento para exibi-la.
      Por padrão, o app principal de Pesquisa e relatórios está selecionado.
    2. Se o alerta a ser ingerido fizer parte de um diferente Splunkapp, selecione Seleção do app Splunk e escolha o seu Splunkapp do App selecionado lista.
    3. Em Lista de alertas , escolha um alerta e mova-o para a partir de Disponível para Selecionado coluna.
      Você também pode escolher vários alertas. Se os alertas forem selecionados como parte de um único perfil, os alertas terão mapeamentos de campo e configurações de perfil comuns.

      A lista de alertas neste formulário corresponde à lista de alertas em Splunkconsole. Até 500 alertas são exibidos neste formulário. Se houver mais de 500 alertas listados no console do Splunk na página Alertas, somente os primeiros 500 alertas serão exibidos neste formulário no seu Now Platforminstância.

      Opção Descrição
      No campo de pesquisa Lista de alertas, insira o texto. A coluna abaixo do campo de pesquisa é filtrada com opções disponíveis com base no texto inserido. Selecione um alerta e, com as teclas de seta, mova o alarme selecionado de Disponível para Selecionado .
      Na Lista de alertas, clique duas vezes em um alerta. . Selecionado a coluna é preenchida com sua seleção.
      Na Lista de alertas, clique uma vez em uma regra de alarme. O alarme está selecionado. Com as teclas de seta, mova o alerta selecionado de Disponível para Selecionado .
      Selecione um alerta para um perfil de evento agendado.
    4. Escolha uma opção para continuar.
      OpçãoDescrição
      Ou, como alternativa, clique em Mapeamento na barra de andamento O formulário de mapeamento é exibido.

      Mapeamento está selecionado na barra de andamento. A próxima etapa é mapear campos de alerta para um SIRincidente de segurança.
      Atualizar Seus dados são salvos e a lista de perfis de evento Splunk é exibida.
      Anterior . Nome a etapa é exibida.
      Excluir Exclua este perfil de evento e a lista Perfis de evento Splunk será exibida.

    O que Fazer Depois

    Você selecionou com sucesso um alerta para um perfil de alerta agendado. A próxima etapa é mapear valores de alerta para campos em um incidente de segurança.