Visualize o incidente de segurança do Splunk Enterprise Event Ingestionintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Após concluir a etapa de mapeamento, visualize os valores mapeados em um Now Platform® Resposta a incidentes de segurança( SIR) incidente de segurança. Esta etapa de visualização permite que você verifique se mapeou todos os campos de alerta que deseja exibir no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Visualize um incidente de segurança e edite o mapeamento novamente conforme necessário para corrigir campos com erros ou preencher dados ausentes. Se a visualização não for concluída com sucesso, você não poderá prosseguir para a etapa de programação. Visualizações de SIRos incidentes de segurança não são salvos como incidentes reais no SIRproduto.

    Procedimento

    1. Se a visualização do incidente de segurança não for exibida, clique em Visualização na barra de andamento.
    2. Selecione Nome do alerta e, em seguida, selecione um item no IDs de alerta de amostra lista.
      Selecione a lista de seleção de alerta expandida.

      O incidente de segurança é exibido. Não altere nenhuma informação nos campos. Esta exibição é somente leitura e um registro desse incidente de segurança não foi salvo.

    3. Revise o mapeamento de campo dos valores de alerta no incidente de segurança.
      Mensagem de erro em um incidente de segurança na visualização.

      A imagem anterior é um exemplo de uma visualização com um erro de mapeamento. Neste exemplo, um campo no incidente de segurança não existe para um valor ou o campo não é compatível com o valor mapeado. Uma mensagem de erro é exibida indicando que um valor de entrada não foi encontrado para Item de configuração campo.

    4. Para resolver este erro, clique em Mapeamento na barra de andamento.
    5. Edite o mapeamento para corrigir valores incorretos ou preencher dados ausentes.
    6. Visualize o mapeamento novamente e continue a corrigir os erros descritos nas mensagens de erro.

      A figura a seguir é um exemplo da guia Detalhes do incidente na metade inferior de um SIRincidente de segurança após todas as mensagens de erro serem resolvidas. Para este exemplo, os campos Descrição e Anotações de trabalho foram mapeados, e esses campos são preenchidos com os valores dos pares de valores extraídos do Splunk Enterpriseconsole. O primeiro campo de anotações de trabalho não tem valor. Este campo foi deixado em branco na grade de mapeamento durante a etapa de mapeamento. Os campos de anotação de trabalho adicionais que têm valores foram adicionados à grade de mapeamento durante a etapa de mapeamento.

      Campos de anotação de trabalho e Descrição na visualização do incidente de segurança.
    7. Depois de corrigir os erros e verificar se os campos estão do jeito que você deseja, escolha uma opção para continuar.
      OpçãoDescrição
      Continuar O formulário de Agendamento é exibido para perfis com alertas agendados.

      Programação está selecionado na barra de andamento.
      Encerrar Para perfis com configurados para encaminhamento manual de eventos, clique em Concluir . Não há etapa de programação para perfis com dados de evento exportados sob demanda diretamente do Splunk Enterpriseconsole.
      Atualizar Seus dados serão salvos e você retornará para SplunkLista de perfis de evento.
      Anterior A etapa Mapeamento na barra de andamento é exibida.
      Excluir Exclua este perfil de evento e o. SplunkA lista de perfis de evento é exibida.

    O que Fazer Depois

    Se nenhuma mensagem de erro for exibida e você estiver satisfeito com o mapeamento de campo no incidente de segurança, a próxima etapa será Programe e recupere alertas para Splunk Enterprise Event Ingestionintegração.