Mapeamento
Depois de selecionar LogRhythm origem que você deseja ingerir, você precisa mapear individual LogRhythm campos de alarme para ServiceNow AI Platform campos de incidente de segurança.
O mapeamento de alarmes inclui as seguintes tarefas:
- Mapa LogRhythm alarmes. Para esta tarefa, você lista e ingira (extrai) alarmes de amostra usando os IDs de alarme ou os alarmes mais recentes do LogRhythm console do cliente.
- Os campos Alarme de amostra são categorizados em três grupos:
- Campos de alarme : Os campos de alarme que estão disponíveis e seus valores correspondentes são exibidos.
- Campos de evento : Os campos de evento que estão disponíveis e seus valores correspondentes são exibidos.
- Campos DrillDowLog : Os campos de log de detalhamento que estão disponíveis e seus valores correspondentes são exibidos.
- Cada ID de alarme que você extraiu é exibido como uma guia. Nas guias ID do alarme, verifique se todos os campos de alarme críticos do Ingestão de amostra de alarme a seção à esquerda do formulário é mapeada para Mapeamento de campo de incidente DO SIR à direita do formulário.
- Depois de mapear os alarmes para Mapeamento de campo de incidente DO SIR , você pode ver a categoria de alarme também sendo exibida no Expressão de entrada campo. Por exemplo, (Alarme: Alarmid) .
- Você pode modificar a configuração adicionando ou removendo campos no incidente de segurança. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida.
- Você pode filtrar alarmes para especificar quais alarmes são ingeridos na aplicação SIR. Você pode filtrar os alarmes diretamente ou usar as categorias de alarme para detalhar sua pesquisa com base em Alarmes, Eventos ou DrillDowLogs.
- Use o editor de script se quiser formatar valores para os campos Prioridade e Categoria no incidente de segurança.
A próxima etapa é a. Mapa LogRhythm campos de alarme para campos de incidente de segurança.