Use o editor de script para formatar valores de alerta para a integração de ingestão de eventos Splunk Enterprise Security
Além dos campos mapeados diretamente dos valores de evento notáveis ingeridos e dos valores inseridos manualmente, use o editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Em determinados casos, Splunk Enterprise Security valores de eventos notáveis são mapeados para os campos Categoria, Item de configuração (IC) e Observável no incidente SIR. Você pode preferir editar os valores mapeados. Se você quiser converter o valor de um evento notável Splunk Enterprise Security para um valor que seja compatível com esses campos no incidente de segurança SIR, use o editor de script.
Procedimento
-
Com o formulário de mapeamento exibido, clique no link para abrir o editor de script.
-
Como alternativa, na seção Mapeamento de campo de incidente SIR, clique no ícone de colchete [{}] ao lado de um campo para abrir o editor de script desse campo.
Em determinadas instâncias, uma inclusão de script pode ser apropriada para o campo Item de configuração. Para um evento notável, por exemplo, um valor para o item de configuração pode não ser correspondido.
Conforme mostrado na figura a seguir, se uma correspondência para um nome de host não puder ser encontrada no Now Platform® CMDB para o campo Item de configuração, você poderá editar a regra para que, se um endereço IP for encontrado, ele preencha o campo Item de configuração. Se não houver valor para o alarme, o campo no incidente de segurança será definido como nulo.
O editor é aberto com o campo exibido em Campo de destino. A imagem a seguir mostra o editor com o campo Item de configuração como o Campo de destino.