Criação automática de incidentes de segurança
Ferramentas de monitoramento de terceiros, como Splunk, podem ser integradas com Resposta a incidentes de segurança para que os eventos de segurança importados dessas ferramentas gerem incidentes de segurança automaticamente. Você também pode importar dados de ferramentas de terceiros para alertas de segurança.
Para integrar ferramentas de monitoramento de alertas ao Resposta a incidentes de segurança, você deve usar REST API Para gravar na tabela Importação de incidentes de segurança [sn_si_incident_import]. Em seguida, usando Transformação de incidente de segurança mapas de transformação , A tabela de origem do conjunto de importação é mapeada para campos na tabela Incidente de segurança de destino [sn_si.incident].
Se você tentar importar registros de IC que não são reconhecidos pelo mapa de transformação, o script do mapa de transformação verificará o registro quanto ao seguinte (nesta ordem) na tentativa de fazer uma correspondência:
- sys_id
- Nome do IC
- nome de domínio totalmente qualificado
- Endereço IP
Nota:
Se você achar que Transformação de incidente de segurança o mapa de transformação não é adequado para a ferramenta de monitoramento de alertas de terceiros que você está usando, duplique o mapa de transformação, crie um novo e edite os campos, conforme necessário.