Use o editor de scripts para formatar valores de alerta para Splunk Enterprise Event Ingestionintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 1 min. de leitura

    • Use o editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.

    Antes de Iniciar

    Além dos campos mapeados diretamente dos valores de alerta extraídos e dos valores de alerta inseridos manualmente, você pode opcionalmente usar o editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. O editor de scripts muda os valores de um Splunkalerta para que os valores compatíveis com Now Platform® Resposta a incidentes de segurançaO incidente de segurança é mapeado para os campos Categoria, Item de configuração (IC) e Observável.

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Em determinados casos, Splunk EnterpriseOs valores de alerta são mapeados para os campos Categoria, Item de configuração (IC) e Observável no SIRo incidente e não são compatíveis. Você pode preferir editar os valores mapeados. Se você quiser traduzir o valor de a. Splunk Enterprisealerta para um valor compatível com esses campos no SIRincidente de segurança, use o editor de scripts.

    Procedimento

    1. Com o formulário de mapeamento exibido, clique no link para abrir o editor de scripts.
      Clique aqui no link do editor de script realçado.
    2. Na lista de seleção, selecione um campo de destino para o valor que você deseja editar.
    3. Como alternativa, na seção Mapeamento de campo de incidente de SIR, clique no ícone de colchete [] ao lado de um campo para abrir o editor de script desse campo.

      Em determinadas instâncias, uma inclusão de script pode ser apropriada para o campo de item de configuração. Para um alerta, por exemplo, um valor para o item de configuração pode não corresponder.

      Conforme mostrado na figura a seguir, se uma correspondência para um nome de host não puder ser encontrada no Now Platform®No campo de item de configuração, você pode editar a regra para que, se um endereço IP for encontrado, ele preencha o campo de item de configuração. Se não houver valor para o alarme, o campo no incidente de segurança será definido como nulo.

      O editor é aberto com o campo exibido em Campo de destino. A imagem a seguir mostra o editor com Item de configuração Campo como o Campo de destino.
      Editor de script.
    4. Insira as mudanças no script e clique em Atualizar para salvar suas mudanças.
      . SplunkA tabela de traduções de campo é exibida.
    5. Feche a tabela para retornar ao formulário Mapeamento.