Crie e nomeie um perfil de evento para Splunk Enterprise Security integração de ingestão de evento

Versão de lançamento: Zurich

Atualizado 31 de jul. de 2025

52 min. de leitura

Você cria um perfil de evento em seu ServiceNow AI Platform e determine qual Splunk eventos notáveis criam incidentes de segurança.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Por Que e Quando Desempenhar Esta Tarefa

Antes ServiceNow AI Platform Resposta a incidentes de segurança( SIR os incidentes de segurança são criados a partir de eventos notáveis ingeridos, os valores de campo dos alertas são exibidos em um layout de um ServiceNow AI Platform incidente de segurança para que você possa visualizar como o incidente de segurança real será criado.

De uma perspectiva de integração usando as APIs disponíveis, Splunk ES eventos notáveis são encaminhados individualmente e manualmente como eventos notáveis discretos ou são automaticamente ingeridos em Operações de segurança do seu ServiceNow AI Platform instância dependendo do tipo de perfil definido.

Os fluxos de trabalho de integração ingerem diferentes tipos de eventos notáveis, como tentativas de acesso não autorizado e malware, por exemplo. Esses eventos notáveis são ingeridos com base nos perfis que você configura no Operações de segurança ambiente da sua instância.

Inicialmente, todos os notables são ingeridos para um tipo de pesquisa de correlação configurado em um perfil. Os notables ingeridos podem ser filtrados ainda mais para especificar quais notables criam incidentes de segurança. Por exemplo, você pode preferir filtros que criem incidentes de segurança somente para eventos notáveis identificados como de alto risco. Antes que um perfil seja ativado e ele crie incidentes de segurança a partir de eventos notáveis ingeridos, os valores de campos individuais nos eventos notáveis são mapeados para os campos correspondentes em um layout do incidente de segurança para uma visualização.

Procedimento

Nomes dos perfis de evento em seu ServiceNow AI Platform a instância deve ser exclusiva e só pode ser mapeada para um perfil de evento ativo a qualquer momento.
. ServiceNow AI Platform ingere notables específicos usando os fluxos de trabalho da integração.
Todos os eventos notáveis que atendem aos critérios de seleção em seu Splunk ES inicialmente, o console é ingerido em seu ServiceNow AI Platform instância.
Um perfil em seu ServiceNow AI Platformé um encapsulamento de um evento notável em seu Splunk ES console.
Há um relacionamento um para um entre eventos notáveis que são ingeridos com um perfil e conexões com seu Splunk ES console: um tipo de evento notável para uma conexão.
Para criar perfis para eventos notáveis agendados, consulte Configure um perfil para ingestão de eventos notáveis programados.
Para criar perfis para encaminhamento manual de eventos, consulte Configure um perfil para encaminhamento manual de eventos.

Configure um perfil para ingestão de eventos notáveis programados

Dependendo do perfil definido, Splunk ES eventos notáveis são ingeridos automaticamente em Operações de segurança do seu ServiceNow AI Platform instância.

A tabela a seguir mostra a lista de tarefas que você precisa seguir para configurar um perfil para ingestão programada de eventos notáveis:

Tabela 1. Etapas para configurar um perfil para ingestão de eventos notáveis programados
Tarefa	Seção
Crie um perfil de evento	Veja Crie perfis para ingestão de eventos notáveis programados
Selecione eventos notáveis com base no nome da pesquisa de correlação	Veja Selecione eventos notáveis com base no nome da regra de correlação para o perfil para Splunk ES Integração de ingestão de evento
Mapear campos de evento notável	Veja Mapeamento de campos de evento notável para Splunk Enterprise Security integração
Crie mapeamentos personalizados	Veja Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (ingestão programada)
Visualize o incidente de segurança	Veja Visualize o incidente de segurança do Splunk Enterprise Security Integração de ingestão de evento
Programar e recuperar eventos notáveis novos e atualizados	Veja Programar e recuperar eventos notáveis novos e atualizados para Splunk Enterprise Security Integração de ingestão de evento
Automatize atualizações e fechamento de eventos notáveis com base no status do incidente SIR	Veja Automatize atualizações e fechamento de eventos notáveis com base no status do incidente SIR

Crie perfis para ingestão de eventos notáveis programados

Você pode configurar um perfil para que eventos notáveis sejam ingeridos automaticamente.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Procedimento

Para criar um perfil de evento para um evento notável ou tipo de regra de correlação em seu ServiceNow AI Platform instância, navegue até Splunk Integration > Perfil de evento do Splunk.
. Splunk O formulário Perfil de evento não for exibido, clique em Nome Na barra de andamento.
Clique em Nova.

Preencha os campos.

Um exemplo de um formulário preenchido segue a tabela.


Campo	Descrição
Nome	Nome exclusivo do perfil. Se os nomes não forem exclusivos, um erro será exibido e os nomes de perfil duplicados não serão salvos. Nomes de perfil em seu ServiceNow AI Platform a instância deve ser exclusiva.
Ativo	A caixa de seleção está desmarcada e desabilitada por padrão. Você deve concluir todas as seções no perfil antes de ativá-lo.
Tipo	Selecione o tipo de perfil na lista de seleção. Ingestão de evento programado: Este tipo de perfil oferece suporte a eventos notáveis que são ingeridos em uma programação configurada. Preencha os campos. Encaminhamento manual de eventos: Este tipo de perfil oferece suporte a eventos notáveis que são encaminhados manualmente do seu Splunk Enterprise Security Console de Revisão de incidentes sob demanda. Consulte as etapas a seguir para preencher o formulário para esses tipos de perfis.
Origem	Splunk fim do servidor ou da pesquisa que você configurou para ingerir eventos notáveis. Se você tiver vários Splunk servidores configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão ingeridos para o perfil. Você deve inserir um valor.
Ordem	O padrão é 100. Se você criou vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham as mesmas condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição	Texto adicional para ajudá-lo a distinguir este perfil de outros perfis.

A figura a seguir é um exemplo de um formulário preenchido para um tipo de evento notável programado.

Para um perfil com um evento notável programado, escolha uma opção para continuar com a configuração do perfil.

Opção	Descrição
Continuar	Salve o perfil e o andamento na etapa Seleção de evento.
Atualizar	Salve as atualizações neste perfil e retorne ao Splunk Lista de perfis de evento.
Salvar	Salve este perfil e permaneça na página.
Excluir	Exclua este registro de perfil e retorne ao Splunk Lista de perfis de evento.

O que Fazer Depois

A próxima etapa é selecionar eventos notáveis para ingestão automática.

Selecione eventos notáveis com base no nome da regra de correlação para o perfil para Splunk ES Integração de ingestão de evento

Depois de criar um perfil para uma ingestão de tipo de evento notável programada, selecione um Splunk Enterprise Security nome da regra de correlação para este perfil para o qual você deseja mapear eventos notáveis correspondentes a um ServiceNow AI Platform Resposta a incidentes de segurança incidente de segurança.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Por Que e Quando Desempenhar Esta Tarefa

Exiba as regras de correlação disponíveis no seu ServiceNow AI Platform para que você conheça os tipos de evento notáveis para os quais deseja ingerir e criar incidentes de segurança. Selecione uma regra de correlação. Você pode selecionar um ou mais eventos notáveis na lista neste formulário.

Procedimento

Se a página Seleção de evento notável não for exibida, selecione-a na barra de andamento para exibi-la.

Na Lista de regras de correlação, escolha uma das seguintes opções para selecionar uma única regra de correlação ou várias regras de correlação e mova-as e mova-as para da coluna Disponível para a coluna Selecionado.

A lista de regras de correlação neste formulário corresponde à lista de regras de correlação em seu Splunk ES Console de Revisão de incidentes. Até 500 regras de correlação são exibidas neste formulário. Se houver mais de 500 regras de correlação listadas em seu Splunk ES, somente os primeiros 500 eventos notáveis são exibidos neste formulário em seu ServiceNow AI Platform instância.


Opção	Descrição
No campo de pesquisa Lista de regras de correlação, insira o texto.	A coluna abaixo do campo de pesquisa é filtrada com as opções disponíveis com base no texto inserido. Selecione uma regra de correlação e, com as teclas de seta, mova o alarme selecionado de Disponível . Selecionado .
Na Lista de regras de correlação, clique duas vezes em uma regra de correlação.	. Selecionado a coluna é preenchida com sua seleção.
Na Lista de regras de correlação, clique uma vez em uma regra de correlação.	A regra de correlação é selecionada. Com as teclas de seta, mova a regra de correlação selecionada de Disponível . Selecionado .

Escolha uma opção para continuar.

Opção	Descrição
Ou, como alternativa, clique em Mapeamento na barra de andamento	O formulário Mapeamento é exibido. Mapeamento está selecionado na barra de andamento. A próxima etapa é mapear campos de evento notáveis para um SIR incidente de segurança.
Atualizar	Seus dados são salvos e a lista Perfis de eventos notáveis do Splunk é exibida.
Anterior	. Nome a etapa é exibida.
Excluir	Exclua este perfil de evento e a lista Perfis de evento notáveis do Splunk será exibida.

O que Fazer Depois

Você selecionou com sucesso uma regra de correlação para um programado Splunk Enterprise Security perfil. A próxima etapa é mapear valores de evento notáveis para campos em um incidente de segurança.

Mapeamento de campos de evento notável para Splunk Enterprise Security integração

Depois de identificar a regra de correlação específica e o tipo de evento notável para o perfil, a próxima etapa é mapear campos de evento notável individuais para os campos em um ServiceNow AI Platform Resposta a incidentes de segurança( SIR incidente de segurança.

Visão geral do mapeamento

Para a etapa de mapeamento, você pode ingerir eventos notáveis de amostra para a regra de correlação selecionada ou exportar dados de eventos notáveis para eventos notáveis encaminhados manualmente. O processo de mapeamento de eventos é idêntico, independentemente do tipo de perfil que você está criando.

As figuras a seguir são exemplos das configurações de mapeamento padrão fornecidas para cada tipo de perfil de evento. Você pode personalizar os campos que preenchem o incidente de segurança. Durante esta fase de mapeamento, você pode garantir que todos os dados de campo de evento notável relevantes sejam mapeados para o local apropriado no formulário de incidente de SIR e, em seguida, visualizar o incidente de SIR na seção de visualização.

Se várias correlações forem usadas, eventos notáveis poderão ser obtidos selecionando Evento necessário. Usar Nome do alerta para escolher seu alerta se você tiver configurado vários alertas para ingestão.

Depois de clicar para buscar dados, o Splunk nomes de campos de evento notáveis e valores correspondentes são preenchidos no lado esquerdo do formulário. . Splunk campos de evento notáveis que estão disponíveis para mapear para SIR campos de incidente de segurança. Alguns campos podem ser mapeados várias vezes para os campos de incidente de segurança SIR.

Você pode preferir revisar alguns exemplos de eventos notáveis em seu Splunk console para ingerir na etapa de configuração de mapeamento de campo. Esta etapa é rotulada Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento. Você pode ingerir até cinco eventos notáveis de amostra de Splunk Enterprise Security para ajudar no processo de mapeamento de campo de evento notável. Há opções para ingerir os cinco eventos notáveis mais recentes para a regra de correlação selecionada ou ingerir até cinco eventos notáveis específicos com base nos IDs de evento notáveis.

Abaixo está um resumo das etapas necessárias para mapear eventos notáveis:

Ingestão de dados de amostra de evento notável programado: Para dados de amostra que são usados para perfis de evento notável ingeridos automaticamente, os campos de evento notável disponíveis e seus valores correspondentes são exibidos em um layout de mapeamento padrão no lado esquerdo do formulário de mapeamento depois que os dados de amostra são recuperados. As guias são exibidas para que você exiba os valores de um ID de evento notável específico que você extraiu. Verifique se todos os campos críticos da seção Ingestão de amostra de evento notável à esquerda do formulário estão mapeados para ServiceNow campos de incidente de segurança à direita do formulário.
Mapeamento de campo: Edite a configuração de mapeamento arrastando campos de evento notáveis do lado esquerdo e soltando-os no ServiceNow Seção de mapeamento de incidentes SIR à direita. O mapeamento à direita associa o campo Evento notável de entrada a um campo de incidente de segurança de saída.
Experiência de mapeamento: Personalize a grade de mapeamento adicionando ou removendo campos usando o ícone de adição na parte inferior da seção de mapeamento de campo de incidente SIR. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida (os campos mapeados ficam esmaecidos, os campos azuis não estão mapeados).
Condições de geração de incidente: Depois que a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais eventos notáveis devem criar incidentes de segurança versus quais eventos notáveis devem ser filtrados, por exemplo, eventos notáveis de baixa prioridade. Isso é feito na seção Condições de geração de incidentes, localizada abaixo da seção Mapeamento de eventos notáveis.
Critérios de agregação de evento: Defina critérios de agregação de evento adicionais que agreguem um evento notável de entrada a um existente SIR incidente de segurança em vez de criar incidentes semelhantes e potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, esse recurso de agregação adicional pode reduzir o número de incidentes de segurança ativos sobrepostos, colocando todos os dados de eventos notáveis de segurança relacionados em um único incidente de segurança.
Tradução de campo de formato: Em determinados casos, valores de campo de evento no Splunk Eventos notáveis da empresa podem não ser traduzidos diretamente para os campos no SIR incidente de segurança. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de script, um valor de categoria Alerta de malware e infecção por vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser traduzidos em uma Atividade de código mal-intencionado comum no campo Categoria no SIR Incidente de segurança usando a funcionalidade Formatar tradução de campo.

A próxima etapa é ingerir eventos notáveis e mapear valores para SIR campos de incidente de segurança.

Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (ingestão programada)

Durante a etapa de mapeamento de campo de evento notável, você mapeia campos de evento individuais de eventos notáveis para campos em um ServiceNow AI Platform Resposta a incidentes de segurança( SIR incidente de segurança.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Por Que e Quando Desempenhar Esta Tarefa

A grade de mapeamento pode ser personalizada para o tipo de evento notável selecionado na seleção de regra de correlação. A codificação por cores dos campos de evento ajuda a acompanhar os valores de evento que você já mapeou conforme eles ficam esmaecidos, enquanto todos os campos não mapeados restantes aparecem em azul. Isso ajuda a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de evento importante restante permanece não mapeada.

Mapeie até cinco eventos notáveis da coluna Ingestão de amostra de evento notável à esquerda do formulário para os campos de incidente de segurança na coluna Mapeamento de campo de incidente SIR à direita.

Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Campos padrão que normalmente são importantes para preencher no formulário de resposta a incidentes de segurança são exibidos. Esses campos podem ser removidos e todos os campos adicionais podem ser exibidos usando os botões mais e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Personalizar os campos permite mapear Splunk campos que não são exibidos na grade de mapeamento padrão no SIR incidente de segurança.

Procedimento

Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
Para obter um perfil com uma ingestão programada, abaixo de Ingestão de amostra de evento notável, clique em Buscar dados de amostra para extrair os eventos notáveis de amostra mais recentes do Splunk Enterprise console para a regra de correlação selecionada.

Nota:
Você pode extrair os eventos notáveis de amostra mais recentes ou fornecer os IDs de eventos notáveis exclusivos para os eventos notáveis específicos que você deseja usar para sua experiência de mapeamento de eventos notáveis.

Os campos de evento notáveis e resultados de valores são exibidos como guias individuais. Você pode ingerir até cinco eventos notáveis.

A extração de eventos notáveis de amostra pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela.

Na figura a seguir, os pares de valor de nome de campo para o evento notável ingerido ou os eventos de amostra importados são exibidos no lado esquerdo deste formulário depois que a extração de ingestão é concluída. Esses valores são os valores que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente SIR do formulário.
Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e segure um nome de campo azul no lado esquerdo do formulário.
Arraste o nome do campo, por exemplo, rule_name E solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.

O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, rule_name está mapeado para Descrição resumida campo no incidente de segurança. No entanto, você pode corresponder qualquer valor do lado esquerdo a um campo à direita. Verifique se o valor está mapeado corretamente no incidente de segurança durante a etapa de visualização.

Para ajudar você a garantir que nenhum campo de evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. Campos azuis claros à esquerda indicam que um campo de evento notável ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo notável de entrada a mais de um campo em um incidente de segurança.

Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Esta codificação por cores ajuda você a rastrear o mapeamento.
Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas.
1. À direita do formulário na seção Mapeamento de campo de incidente SIR, na parte inferior da grade, clique no ícone de adição.
  Um novo campo é exibido.
2. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.
  
  Na lista expandida do novo campo, alguns campos são sombreados. Na figura a seguir, rule_name tem um fundo cinza, porque foi mapeado no incidente de segurança. Semelhante à codificação por cores dos campos de eventos notáveis no lado esquerdo do formulário, essa codificação por cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidente DE SIR já mapeados.
  
  Nota:
  Para que vários observáveis possam ser exibidos no mesmo incidente de segurança, o campo observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho são compatíveis com vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, uma mensagem de erro será exibida informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista da qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não seja exibida na lista, o campo não será preenchido no incidente de segurança.
3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar ID do evento Que você deseja no campo Expressão de entrada.
Continue o mapeamento adicionando ou removendo valores de campo ao mapeamento.
A figura a seguir é um exemplo de um mapeamento editado. No campo inferior à direita, o campo Anotações de trabalho é adicionado e tem mais de um valor. Para o campo de cadeia de caracteres de texto longa, você pode expandir o campo de mapeamento para ver a cadeia de caracteres completa e redimensioná-la conforme necessário, puxando o canto inferior direito do campo, conforme indicado na captura de tela abaixo com o campo Anotações de trabalho adicionado:

Aviso:
Observe que em Mapeamento de campo de incidente DO SIR A URL e o número da porta mencionados em Expressão de entrada O campo é apenas um exemplo e não o URL ou o número da porta fornecidos prontos para uso.

Na visualização, esses valores são exibidos nas anotações de trabalho no incidente de segurança. Como o valor é para um campo que você adicionou à seção de mapeamento e há vários valores mapeados para o campo Anotações de trabalho, os valores são exibidos conforme inseridos. Neste exemplo, os espaços e os sinais de pontuação inseridos no campo são exibidos na seção Itens relacionados como uma anotação de trabalho na visualização do incidente de segurança.

A imagem a seguir é um exemplo de como os valores na imagem anterior são exibidos no incidente de segurança.
Para receber atualizações para os campos mapeados no SIR, selecione Habilitar atualizações Caixa de seleção em relação à Expressão de entrada.
Opcional: Depois de concluir as etapas de mapeamento de campo anteriores, você pode usar os mesmos valores de campo no construtor Condições de geração de incidentes para definir critérios adicionais que um evento notável de entrada deve satisfazer para criar um SIR incidente de segurança.
Para definir condições de geração de incidentes, siga estas etapas.
1. Role até a seção Condições de geração de incidentes no formulário e selecione Filtro com base em condições marque a caixa para habilitar a opção.
  
  O construtor Condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.
  
  As opções nas listas do primeiro campo no construtor Condições de filtro correspondem aos campos exibidos na seção Ingestão de amostra de evento notável para os eventos que você ingeriu. Esses campos são dinâmicos e mudam dependendo de Splunk eventos notáveis que você ingerir ou o evento selecionado para as amostras de evento notável encaminhadas manualmente. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores de Splunk Enterprise Security evento notável. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao Splunk Enterprise Security console e revise seus eventos notáveis para as palavras-chave.
2. Usando as listas e os campos do construtor de condições, defina filtros para a primeira linha.
3. Para adicionar mais condições, à direita dos campos, clique em E. ou OU .
  Se E. selecionado, todas as condições devem ser correspondidas. Se OU está selecionado, qualquer condição pode ser correspondida.
4. Opcional: Na segunda linha, defina uma segunda condição de filtro.
  
  A imagem a seguir é um exemplo com duas condições que devem ser correspondidas antes que os incidentes de segurança sejam criados.
  
  Você definiu as condições de geração de incidentes para que os incidentes de segurança sejam criados somente quando as duas condições de filtragem inseridas forem correspondidas.
  
  Este tipo de filtragem de condição de geração de incidentes ajuda a restringir os eventos de segurança e limitar o número de incidentes de segurança desnecessários que você cria sem modificar a pesquisa de correlação subjacente ou os filtros em Splunk. Se critérios de filtragem adicionais forem definidos, somente eventos notáveis que correspondem a todos os critérios serão mapeados para incidentes.
  
  Nota:
  Se qualquer um dos nomes de campo de evento tiver caracteres especiais, como aspas ("), hifens ("), sublinhados (-), em (") ou ampersands (&), esses caracteres podem ser substituídos para fins de tradução de mapeamento e possivelmente criar um nome de evento duplicado. O mapeamento pode ser feito corretamente, mas um sufixo numérico é anexado para diferenciar campos com nomes de evento duplicados. Por exemplo, se o primeiro campo de evento for alerts.alert e o segundo campo de evento é alertas em alertas esses campos não podem ser identificados exclusivamente, pois os caracteres de texto padrão restantes são os mesmos. Nesse caso, um sufixo é adicionado ao segundo campo de evento e o campo é renomeado para alertas em alerta (1) .
Critérios de agregação de eventos para lidar com notables semelhantes e evitar incidentes duplicados
Opcional: Para evitar a criação de incidentes de segurança duplicados, defina critérios de agregação de eventos adicionais para que os eventos notáveis de entrada sejam agregados a um incidente de segurança em aberto.
Para definir os critérios, siga estas etapas abaixo.
1. Role até a seção Critérios de agregação de eventos no formulário e selecione Condições agregadas marque a caixa para habilitar esta opção.
  
  Os campos Incidente com valores correspondentes são exibidos. Esses nomes de campos são os campos no incidente de segurança que incluem todos os campos personalizados configurados no SIR incidente de segurança.
2. No campo de entrada de seleção múltipla, selecione os valores de campo que você deseja corresponder aos incidentes de segurança existentes em seu ServiceNow AI Platform.
3. Use Adicionar novos critérios para selecionar várias condições de correspondência de campo.
  Todos os valores de campo selecionados no campo de entrada de seleção múltipla correspondem aos critérios de agregação usando a condição E. Clique em Adicionar novos critérios Para selecionar várias condições de correspondência de campo em que ocorre agregação se qualquer uma das condições de campo de várias seleções definidas for atendida usando a condição OU .
  
  Se um novo evento notável corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o novo evento notável será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os eventos notáveis agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os eventos notáveis agregados em um incidente de segurança são exibidos no Splunk Evento para lista relacionada de tarefas. Esta lista detalha carimbos de data/hora associados e valores de campo agregados. Essas informações ajudam você a entender por que esses eventos notáveis estão sendo agregados aos incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique em Mostrar todas as listas relacionadas link.
4. Opcional: Para registrar em log uma anotação de trabalho para um novo evento notável que foi adicionado recentemente ao incidente de segurança, marque a caixa de seleção para habilitar esta opção.
  A anotação de trabalho registra em log que um novo notável foi adicionado junto com um link para os detalhes do alerta e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho na seção de mapeamento.
Valores mapeados com sucesso de um Splunk evento notável para campos em um SIR incidente de segurança. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidentes. Você também anexou eventos notáveis a existentes SIR incidentes de segurança quando os valores do campo de evento correspondem aos critérios de agregação configurados.

Escolha um para continuar com a configuração do perfil.

Opção	Descrição

Continuar	O formulário Mapeamento é exibido. Visualização está selecionado na barra de andamento. A próxima etapa é visualizar os campos mapeados em um SIR incidente de segurança.
Atualizar	Seus dados são salvos e a lista Perfis de evento do Splunk é exibida.
Anterior	O formulário Seleção de evento notável é exibido.
Excluir	Exclua este perfil de evento e a lista Perfis de evento do Splunk será exibida.

O que Fazer Depois

A próxima etapa é visualizar os valores mapeados no incidente de segurança.

Visualize o incidente de segurança do Splunk Enterprise Security Integração de ingestão de evento

Depois de concluir a etapa de mapeamento, visualize os valores mapeados em um ServiceNow AI Platform® Resposta a incidentes de segurança( SIR incidente de segurança. Esta etapa de visualização permite que você verifique se mapeou todos os campos notáveis que deseja exibir no incidente de segurança.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Por Que e Quando Desempenhar Esta Tarefa

Visualize um incidente de segurança e edite o mapeamento novamente conforme necessário para corrigir campos com erros ou preencher dados ausentes. Se a visualização não for concluída com sucesso, você não poderá prosseguir para a etapa de programação. Visualizações de SIR os incidentes de segurança não são salvos como incidentes reais no SIR produto.

Procedimento

Se a visualização do incidente de segurança não for exibida, clique em Visualização na barra de andamento.
Na lista de seleção Nome do evento, selecione um item se vários eventos tiverem sido usados.
Selecione IDs de evento na lista de seleção IDs de evento notáveis de amostra.
Na lista de seleção IDs de evento notáveis de amostra, selecione um item.

O incidente de segurança é exibido. Não altere nenhuma informação nos campos. Esta exibição é somente leitura e um registro desse incidente de segurança não é salvo.
Revise o mapeamento de campo dos valores de evento notáveis no incidente de segurança.

A imagem anterior é um exemplo de uma visualização com um erro de mapeamento. Neste exemplo, um valor de campo do evento Notable não tem um valor aceitável para o campo de referência no formulário de incidente SIR. Uma mensagem de erro é exibida indicando que um valor de entrada não foi encontrado para Item de configuração . ServiceNow® Banco de dados de gestão de clientes (CMDB). Como resultado, este valor de campo mapeado não aparecerá no formulário de incidente de segurança SIR sem modificações adicionais.
Para resolver este erro, clique em Mapeamento na barra de andamento.
Edite o mapeamento para corrigir valores incorretos ou preencher quaisquer dados ausentes.
Visualize o mapeamento novamente e continue a corrigir todos os erros descritos nas mensagens de erro.

A figura a seguir é um exemplo da guia Detalhes do incidente na metade inferior de um SIR incidente de segurança após todas as mensagens de erro serem resolvidas. Para este exemplo, os campos Descrição e Anotações de trabalho foram mapeados e esses campos são preenchidos com os valores dos pares de valores extraídos do Splunk Enterprise Security amostras de eventos notáveis. O primeiro campo de anotações de trabalho não tem valor. Este campo foi deixado em branco na grade de mapeamento durante a etapa de mapeamento. Os campos de anotação de trabalho adicionais que têm valores foram adicionados à seção de mapeamento.

Depois de corrigir os erros e verificar se os campos estão do jeito desejado, escolha uma opção para continuar.

Opção	Descrição
Continuar	O formulário Programação é exibido para perfis com eventos notáveis programados. Programação está selecionado na barra de andamento.
Encerrar	Para perfis com configurados para encaminhamento manual de eventos, clique em Concluir . Não há etapa de programação para perfis com dados de evento que são exportados sob demanda diretamente do Splunk Enterprise Security console.
Atualizar	Seus dados são salvos e você retorna para Splunk Lista de perfis de evento.
Anterior	A etapa Mapeamento na barra de andamento é exibida.
Excluir	Exclua este perfil de evento e o. Splunk A lista Perfis de evento é exibida.

O que Fazer Depois

Se nenhuma mensagem de erro for exibida e você estiver satisfeito com o mapeamento de campo no incidente de segurança, a próxima etapa será Programar e recuperar alertas para Splunk Enterprise Event Ingestion integração.

Programar e recuperar eventos notáveis novos e atualizados para Splunk Enterprise Security Integração de ingestão de evento

Para perfis automatizados de ingestão de eventos notáveis, esta etapa é necessária na configuração do perfil de evento. Durante esta etapa, você pode verificar as configurações padrão para recuperação de evento notável ou modificar a programação conforme necessário. Esta etapa também permite recuperar eventos notáveis históricos usando um intervalo de datas.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Por Que e Quando Desempenhar Esta Tarefa

Para perfis para ingestão automatizada de eventos notáveis, você escolhe se deseja ingerir eventos notáveis históricos durante a etapa Programação. Você também escolhe a frequência com que pesquisará novos eventos notáveis futuros e eventos notáveis atualizados que correspondam à configuração do perfil de alerta.

Para perfis automatizados de ingestão de eventos notáveis, antes que o perfil seja ativado, você verifica e modifica a programação e a recuperação de alertas. Esta é uma etapa obrigatória para todos os processos de configuração de perfil de evento para perfis de alerta programados.

Esses intervalos de pesquisa são configurados por perfil. O desempenho do Splunk a integração de ingestão de evento pode ser afetada pelos diferentes intervalos de pesquisa. Ao programar, você pode preferir equilibrar a redução da sobrecarga de pesquisa no Splunk Enterprise Security servidor contra o desejo de ser notificado o mais rápido possível quando um evento notável é criado ou atualizado. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração para um minuto, se necessário.

Extraindo eventos notáveis novos e atualizados

Quando a programação de pesquisa é definida, o trabalho agendado extrai eventos notáveis novos e atualizados que foram extraídos anteriormente, mas não atenderam aos critérios de filtragem de incidentes. Isso fornece a flexibilidade para criar incidentes com base em critérios que podem não estar presentes quando um evento notável é criado pela primeira vez, mas se torna disponível após a ocorrência de uma atualização, por exemplo, durante a fase de investigação. Quando um incidente é criado para um evento notável específico, suas atualizações subsequentes são ignoradas, pois espera-se que o notável agora esteja sendo tratado como ativo ServiceNow® incidente de segurança. No entanto, todas as outras notables que foram ingeridas anteriormente, mas não atenderam aos critérios de geração de incidentes, continuarão a ser extraídas e verificadas em relação aos critérios de geração de incidentes até se tornarem parte de um incidente ativo.

Procedimento

Se a página Programação na barra de andamento não for exibida, selecione Programação .

Escolha um para programar como e quando os eventos notáveis são extraídos do Splunk Enterprise Security console.

Opção	Descrição
Campo Ingestão de evento em andamento selecionado Campo Recuperação única limpo	Evento em andamento Com base na configuração padrão, o. ServiceNow AI Platform a instância extrai do Splunk Enterprise Security servidor para eventos notáveis novos e atualizados a cada cinco minutos. Os incidentes de segurança serão criados se eventos notáveis forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar o desejo de sobrecarga de pesquisa de ingestão de obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, esse valor pode ser modificado para um minuto, se necessário.
Campo de evento notável em andamento limpo Campo Recuperação única selecionado	Recuperação Única Use esta configuração se quiser uma extração única para ingerir eventos notáveis históricos. Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos notáveis de eventos históricos baseados em um intervalo de datas. À direita do campo Desde data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. A partir do valor da data Desde, os eventos notáveis são recuperados até a data atual. Observe que você pode extrair até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de eventos históricos do Splunk Enterprise Security por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil. Depois que os eventos notáveis forem extraídos, esta configuração não recuperará eventos mais notáveis para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos notáveis encontrados para o intervalo inserido.

Opção

Descrição

Campo Ingestão de evento em andamento selecionado
Campo Recuperação única limpo

Evento em andamento

Com base na configuração padrão, o. ServiceNow AI Platform a instância extrai do Splunk Enterprise Security servidor para eventos notáveis novos e atualizados a cada cinco minutos. Os incidentes de segurança serão criados se eventos notáveis forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar o desejo de sobrecarga de pesquisa de ingestão de obter os dados mais atuais, cinco minutos é a configuração padrão. No entanto, esse valor pode ser modificado para um minuto, se necessário.

Campo de evento notável em andamento limpo
Campo Recuperação única selecionado

Recuperação Única

Use esta configuração se quiser uma extração única para ingerir eventos notáveis históricos.

Quando esta configuração é definida, um perfil é usado uma vez para recuperar eventos notáveis de eventos históricos baseados em um intervalo de datas. À direita do campo Desde data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. A partir do valor da data Desde, os eventos notáveis são recuperados até a data atual. Observe que você pode extrair até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de eventos históricos do Splunk Enterprise Security por motivos de arquivamento, mas sim uma quantidade mínima de eventos em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.

Depois que os eventos notáveis forem extraídos, esta configuração não recuperará eventos mais notáveis para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os eventos notáveis encontrados para o intervalo inserido.

Página de programação com calendário exibido.

Como exemplo para programar um horário de ingestão de evento notável inicial, se você tiver um diário Splunk Verificação de segurança que é executada uma vez por dia às 4 hora local, você pode configurar o perfil de evento notável correspondente em seu ServiceNow AI Platform Instância a ser executada às 4:05 hora local para capturar o evento de falha de segurança imediatamente e criar um incidente de segurança. Insira 04 05 00 No campo Ingestão de evento inicial. No campo Incremento (minutos), insira 1440 (24 horas) para programar a próxima ingestão de evento para 24 horas a partir da ingestão de evento inicial. A hora de ingestão do evento inicial e a hora de ingestão do próximo evento são exibidas nos campos.

Para definir as configurações deste exemplo, siga estas etapas.
1. Com a página Programação exibida, selecione Ingestão de eventos em andamento marque a caixa para habilitar esta opção.
2. No campo Incremento (minutos), insira 1440 (24 horas).
3. Clique em Selecione Ingestão de evento inicial Caixa de seleção para habilitar a edição dos campos Ingestão de evento inicial e Ingestão de próximo evento.
4. No campo Ingestão de evento inicial, insira 04 05 00 .
  No campo Próxima ingestão de evento (estimada), a hora da próxima ingestão de evento é exibida.

Clique em uma das opções a seguir para continuar com a configuração do perfil.

Opção	Descrição
Continuar	O formulário Opções adicionais é exibido. Opções adicionais está selecionado na barra de andamento. A próxima etapa é atualizar os eventos notáveis quando o incidente SIR é criado e/ou encerrado.
Atualizar	Seus dados são salvos e Splunk A lista Perfis de segurança do evento é exibida.
Anterior	O formulário Programação é exibido.
Excluir	Exclua este perfil de evento e o. Splunk Enterprise Security A lista Perfis de evento é exibida.

Automatize atualizações e fechamento de eventos notáveis com base no status do incidente SIR

Os incidentes de segurança podem ser criados e atualizados depois que são criados com uma interface bidirecional com o. Splunk Enterprise Security integração.

Antes de Iniciar

. Splunk Enterprise Security a integração tem uma interface bidirecional que permite que eventos notáveis criem incidentes de segurança, bem como atualizem os eventos notáveis depois que o incidente de segurança é criado e/ou encerrado.

Os detalhes relevantes do incidente incluem SIR número do incidente, grupo de atribuição, SIR URL do incidente. Esta seção é a parte final da configuração do perfil que fornece recursos opcionais para atualizar o. Splunk Enterprise Security eventos notáveis.

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Procedimento

Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais .

Siga as instruções abaixo para concluir a configuração para atualizar eventos notáveis com base nas atualizações de incidentes de segurança.

Opção ou Campo	Descrição
Atualizar eventos notáveis após a criação de incidente de SIR	Selecione esta opção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento notável. Isso pode ocorrer para os eventos notáveis iniciais que acionam o incidente de segurança, bem como eventos agregados.
Atualização inicial de status do evento notável	Você deve selecionar uma opção de status no menu que exibe todos os valores de status disponíveis recuperados do Splunk Enterprise Security servidor. Isso pode incluir um status criado personalizado, como ServiceNow- Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Notables que criam novos incidentes e notables que são ingeridos e agregados a um incidente em aberto existente.
Comentários iniciais retornados para o evento notável	Além de atualizar o valor de status notável, você também pode publicar comentários no histórico de revisão de incidente de evento notável. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no Resposta a incidentes de segurança formulário incidente.
Fechar eventos notáveis após o fechamento do incidente de SIR	Selecione esta opção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for encerrado a partir do evento notável. Isso ocorrerá para os eventos notáveis de gatilho iniciais que criam o incidente de segurança, bem como eventos agregados.
Atualização de status do evento notável de fechamento	Você deve selecionar uma opção de status no menu de lista que exibe todos os valores de status disponíveis que são recuperados do Splunk Enterprise Security servidor. Isso pode incluir um status criado personalizado, como ServiceNow- Atribuído conforme mostrado na captura de tela abaixo. Selecione o valor de status a ser definido para todos os eventos notáveis quando um incidente de segurança for criado para um evento notável ingerido. Isso inclui notables que criam novos incidentes, bem como notables que são ingeridos e agregados a um incidente em aberto existente.
Comentários de fechamento retornados para o evento notável	Além de atualizar o valor de status notável, você também pode publicar comentários de fechamento no histórico de revisão de incidente de evento notável. Conforme indicado nas instruções, você pode editar o texto padrão exibido na seção de comentários, incluindo adicionar ou modificar as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no Resposta a incidentes de segurança formulário incidente.
Atualizar a atividade de automação da SIR com comentários do evento do Splunk	Opção para atualizar os comentários do evento Splunk no SIR Atividade de automação. O comentário em SIR A atividade de automação aparece com o prefixo Comentário do Splunk .
Atualizar comentários do Splunk com anotações de trabalho SIR	Opção para atualizar seu SIR Anotações de trabalho nos comentários do evento Splunk. O comentário no evento Splunk aparece com o prefixo Comentário da ServiceNow .

Clique em Concluir para concluir a configuração.
Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair eventos notáveis do Splunk Enterprise Security console baseado em sua programação. Há um limite de 1 000 incidentes de segurança que podem ser criados em um período de 24 horas. Até 100 eventos notáveis são por alerta disparado. Eventos notáveis subsequentes serão ignorados depois que os limites forem atingidos.
A imagem a seguir mostra a guia Opções adicionais com os valores padrão preenchidos:

Com a configuração Opções adicionais habilitada, a revisão de incidente de evento notável mostra a mudança de status e uma atualização dos comentários do histórico:

Configure um perfil para encaminhamento manual de eventos

Dependendo do perfil definido, Splunk ES eventos notáveis são encaminhados manualmente como eventos notáveis discretos para Operações de segurança do seu ServiceNow AI Platform instância.

Para configurar um perfil para encaminhamento manual de eventos notáveis:


Tarefa	Seção
Crie um perfil de evento	Veja Crie perfis para eventos encaminhados manualmente
Mapear campos de evento notável	Veja Mapeamento de campos de evento notável para Splunk Enterprise Security integração
Crie mapeamentos personalizados	Veja Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (encaminhamento manual)
Visualize o incidente de segurança	Veja Visualize o incidente de segurança do Splunk Enterprise Security Integração de ingestão de evento
Configure seu Splunk ambiente para ingestão manual	Veja Configure seu Splunk ambiente para ingestão manual de eventos para Splunk Enterprise Security Integração de ingestão de evento notável
Automatize atualizações e fechamento de eventos notáveis com base no status do incidente SIR	Veja Automatize atualizações e fechamento de eventos notáveis com base no status do incidente SIR

Crie perfis para eventos encaminhados manualmente

Você pode configurar um perfil para eventos encaminhados manualmente.

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Procedimento

Para criar um perfil compatível com o encaminhamento manual de eventos, siga estas etapas.

Para eventos que você encaminha sob demanda do seu Splunk Enterprise Security console, você pode basear o mapeamento de campo individual em qualquer perfil existente. Como alternativa, você pode criar uma nova grade de mapeamento para dados de anexo exportados. Os eventos que você encaminha manualmente não são programados no perfil de evento.

Se ainda não estiver selecionado, na lista de seleção do campo Tipo, selecione Encaminhamento manual de eventos .

No campo Opção de mapeamento exibido, na lista de seleção, escolha uma opção de mapeamento para continuar.

Consulte as figuras e tabelas a seguir para obter mais informações sobre as opções de mapeamento disponíveis na lista de seleção Opções de mapeamento.

Tabela 2. Criar nova opção de mapeamento de campo
Opção ou campo	Descrição
Criar nova opção de mapeamento de campo	Novo mapeamento de campo para seu evento. Se você não tiver um mapeamento de campo existente semelhante ao perfil que está criando, selecione esta opção para criar um novo mapa.
Perfil padrão	Perfil de encaminhamento de eventos padrão para todos Splunk eventos. O padrão é limpo (desativado). Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. Este perfil é usado quando não há correspondência na origem do evento encaminhado manualmente. Ele se torna o perfil padrão para todos os eventos com origens desconhecidas. O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Origem (campo de evento notável)	Este é um campo que normalmente define a regra de correlação que acionou os notáveis, por exemplo, ataques de força bruta. Este campo não estará disponível se a opção de perfil padrão estiver habilitada. Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação do splunk que normalmente é diferente para diferentes tipos de evento. Se você quiser gerenciar diferentes regras de correlação separadamente, poderá criar diferentes perfis de evento de perfil com base na regra de correlação para atender a esse requisito.
Automatize atualizações de eventos notáveis	Marque esta caixa de seleção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente SIR for criado a partir do evento notável e/ou quando o incidente SIR for encerrado. Tanto para os eventos notáveis de gatilho iniciais que criam o incidente SIR, bem como eventos agregados.
Origem ( Splunk)	. Splunk servidor que você configurou como a origem de eventos notáveis. Se você tiver vários Splunk servidores configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. Você deve inserir um valor.
Ordem	O padrão é 100. Deixe esta configuração como padrão. Se você criou um grande número de perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição	Texto para ajudá-lo a distinguir este perfil de outros perfis.

Para um perfil com um novo mapeamento de campo, verifique se você inseriu um valor no campo Tipo de origem e clique em Continuar para prosseguir para a etapa de mapeamento da configuração.

Para obter um perfil com um mapeamento de campo existente, consulte a figura e a tabela a seguir para obter mais informações.

Tabela 3. Selecione o perfil existente para a opção de mapeamento de campo
Opção ou campo	Descrição
Selecionar o perfil existente para mapeamento de campo	Reutilize um mapeamento de campo existente para seu novo perfil de evento notável. O campo Copiar do perfil é exibido. Siga estas etapas para copiar um mapeamento de campo existente para este perfil. À esquerda do campo Copiar do perfil exibido, clique no ícone de pesquisa. Em Splunk Lista Perfis de evento ES exibida, clique no nome do perfil que tem o mapa que você deseja copiar. O nome do perfil é exibido no campo Copiar do perfil.
Perfil padrão	Perfil de encaminhamento de eventos padrão para todos Splunk eventos notáveis com origem incompatível. O padrão é limpo (desabilitado). Quando esta opção está habilitada, este perfil se torna o perfil padrão para encaminhamento manual de eventos. O campo Origem não estará disponível se a opção de perfil padrão estiver habilitada.
Origem (campo de evento notável)	Este é um campo que normalmente define a regra de correlação que acionou os notáveis, por exemplo, ataques de força bruta. Este campo não estará disponível se a opção de perfil padrão estiver habilitada. Se disponível, este campo permite o mapeamento de campo de evento exclusivo para campos de incidente de segurança com base na regra de correlação do splunk que normalmente é diferente para diferentes tipos de evento. Se você quiser gerenciar diferentes regras de correlação separadamente, poderá criar diferentes perfis de evento de perfil com base na regra de correlação para atender a esse requisito.
Automatizar eventos notáveis	Marque esta caixa de seleção se quiser atualizar o status do evento notável e adicionar comentários adicionais quando um incidente de segurança for criado a partir do evento notável ou quando o incidente de segurança for encerrado. Isso ocorre para os eventos notáveis de gatilho iniciais que criam o incidente de segurança, bem como eventos agregados.
Origem ( Splunk)	Splunk servidor ou término de pesquisa que você configurou como a origem de eventos notáveis. Se você tiver vários Splunk servidores configurados, selecione o servidor apropriado para os tipos de evento notáveis que serão atualizados para o perfil. Você deve inserir um valor.
Ordem	O padrão é 100. Deixe esta configuração como padrão. Se você criou vários perfis, este valor fornecerá uma prioridade de execução de tempo de execução quando dois ou mais perfis compartilham condições de acionamento. O fluxo de trabalho no perfil com o número mais baixo tem a prioridade mais alta.
(Opcional) Descrição	Texto para ajudá-lo a distinguir este perfil de outros perfis.

Na parte inferior do formulário para selecionar um mapeamento existente para o seu perfil, clique em Concluir para concluir a configuração do perfil.

Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (encaminhamento manual)

Antes de Iniciar

Função necessária: sn_si.ingestion_profile_admin

Nota:

Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

Por Que e Quando Desempenhar Esta Tarefa

Crie mapeamentos personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Campos padrão que normalmente são importantes para preencher no formulário de incidente SIR são exibidos. Esses campos podem ser removidos e todos os campos adicionais podem ser exibidos usando os botões mais e -. Crie mapas personalizados adicionando ou removendo os campos na grade de mapeamento no lado direito do formulário. Personalizar os campos permite mapear Splunk campos que não são exibidos na grade de mapeamento padrão no SIR incidente de segurança.

Procedimento

Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
Siga estas etapas para carregar dados de anexo em seu ServiceNow AI Platform® instância.
1. Se ainda não estiver conectado, faça login em Splunk Enterprise console.
2. Navegue até a guia Pesquisar e insira um nome para uma pesquisa que tenha os dados de evento notáveis que você deseja exportar.
  Um exemplo de formato de pesquisa para recuperar eventos notáveis para a regra de correlação de comportamento de acesso de força bruta seria o seguinte: "Notable" | search source: "Access - comportamento de acesso de força bruta detectado - regra".
3. Expanda o evento Notável e, na coluna Campo, selecione os campos que você deseja importar.
  
  Esses campos são os pares campo-valor que são exportados e exibidos na página Mapeamento do seu ServiceNow AI Platform® instância.
4. Em seu Splunk Enterprise No canto superior direito da página Pesquisar, clique em Exportação ícone.
5. Na lista de seleção do campo Formato na caixa de diálogo exibida, clique em Formato XML .
6. Opcional: Insira um novo nome de arquivo.
7. Clique em Exportar.
  
  Exportado Splunk O arquivo XML de evento notável agora deve ser carregado em seu ServiceNow AI Platform® instância.
8. Se a página Mapeamento ainda não estiver exibida em seu ServiceNow AI Platform® instância, clique em Mapeamento na barra de andamento.
9. Na coluna Ingestão de amostra de evento notável, clique em Carregar dados do anexo .
10. Na caixa de diálogo exibida, clique em Escolha Arquivos e navegue até .xml arquivo exportado e clicado Aberto .
  Depois de clicar para carregar dados de anexo para eventos encaminhados manualmente, o Splunk ES os campos de evento notável são preenchidos no lado esquerdo do formulário. Esses valores são os valores de campo que você mapeia para os campos de incidente de segurança no lado Mapeamento de campo de incidente SIR do formulário.
  
  Os pares de valores dos campos que você exportou para o evento são exibidos no lado esquerdo do formulário de mapeamento.
Siga as etapas 5 a 10 em Criar mapeamentos para Splunk ES revisão de incidente de evento notável e detalhes do evento de contribuição (ingestão programada) seção.

Configure seu Splunk ambiente para ingestão manual de eventos para Splunk Enterprise Security Integração de ingestão de evento notável

Instale e configure o. ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security aplicação em seu Splunk Console do enterprise ou instância do Splunk Cloud se você quiser exportar eventos manualmente e sob demanda do seu Splunk Enterprise Security console para esta integração.

Antes de Iniciar

Instalação e configuração do ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security aplicação em seu Splunk O console enterprise ou a instância do Splunk Cloud são opcionais.

Verifique se você instalou a aplicação para esta integração do ServiceNow Store antes de instalar o plug-in de complemento do splunkbase que é necessário para ingestão manual de eventos. Se você não instalou a aplicação para a integração do ServiceNow Store, consulte Instalar e configurar Splunk Enterprise Security Integração de ingestão de evento notável e siga as instruções para instalá-lo.

Função necessária: Splunk Enterprise Security administrador

Por Que e Quando Desempenhar Esta Tarefa

Se você quiser exportar eventos manualmente e sob demanda do seu Splunk Enterprise console para integração, download, instalação e configuração do ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security do splunkbase em seu Splunk Enterprise Security console. Isso ServiceNow o complemento de extensão é necessário para que os incidentes de segurança possam ser criados a partir de eventos exportados manualmente em seu ServiceNow AI Platform instância. Isso ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security a aplicação está disponível em splunkbase .

Para encaminhamento manual de eventos, você pode identificar até dois diferentes ServiceNow AI Platform endpoints (instâncias) em seu Splunk Enterprise Security console. Você encaminha os eventos para o endpoint ou endpoints manualmente para criar incidentes de segurança. Por exemplo, você pode especificar uma instância de preparação (desenvolvimento) e uma instância de produção. Ao especificar instâncias separadas e nomear fluxos de trabalho primários e secundários para cada instância, você pode escolher para onde deseja encaminhar eventos diferentes.

Procedimento

Se você ainda não instalou o. ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security, siga estas etapas para instalá-lo e configurá-lo.
1. Navegue até splunkbase .
2. PESQUISE ServiceNow Operações de segurança Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security.
  
  Nota:
  Verifique se você selecionou ServiceNow Operações de segurança Complemento de ingestão de evento para Splunk Enterprise Security. Há adicionais ServiceNow complementos exibidos nesta lista. Estes addons são para diferentes ServiceNow Splunk e elas não são necessárias para esta integração.
3. Baixe a aplicação.
4. Abra seu Splunk Enterprise Security conta.
5. Na página Aplicativos, clique no ícone de engrenagem ou em Gerenciar aplicações atalho na lista suspensa do menu.
6. No canto superior esquerdo da página Aplicativos exibida, clique em Instale o app do arquivo .
7. Clique em Escolha Arquivo , selecione ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security e clique em Upload .
8. Se solicitado, reinicie Splunk Enterprise.
  . ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security está instalado em seu Splunk Enterprise Security console. A próxima etapa para configurar o complemento.

Para configurar o complemento, siga estas etapas.

Em Splunk Enterprise Security, clique em Aplicações ícone de engrenagem ou Gerenciar aplicações na lista suspensa do menu.
Na lista de aplicações exibida, em Ações , clique em Configurar para ServiceNow Operações de segurança Complemento de ingestão de evento para Splunk Enterprise Security.
Preencha o formulário.

A figura a seguir é um exemplo de um formulário preenchido em seu Splunk Enterprise Security console.

Campo na seção Especificar instância primária da ServiceNow	Descrição
Rótulo da ação do fluxo de trabalho	Nome do ServiceNow AI Platform fluxo de trabalho para sua instância de produção (primária). Este nome é o nome de um ServiceNow AI Platform instância que seus usuários que estão monitorando Splunk Os eventos são identificados como uma instância primária, por exemplo, Ingestão de eventos da ServiceNow (produção). O padrão para este campo é Ingestão de eventos da ServiceNow (produção). Em seu Splunk Enterprise Security Este nome de fluxo de trabalho é exibido para a instância de produção (primária) no expandido `Ações de evento` lista suspensa de uma pesquisa. Este nome é o nome da sua instância de produção. Você pode editar o nome.
URL	O URL do ServiceNow AI Platform Instância que você inseriu no campo Rótulo de ação de fluxo de trabalho anterior. Copie o URL no seu navegador e cole-o neste campo no formulário.
Endpoint	Caminho da API de base. Para obter mais informações, consulte a figura que segue a tabela. Se você não tiver um valor para o endpoint do seu ServiceNow AI Platform instância de produção, siga estas etapas. Faça login no seu ServiceNow AI Platform instância de produção como um usuário com a função de administrador do sistema (administrador). Insira `REST APIs com script` no painel de navegação. Depois que o painel de navegação for atualizado, selecione REST APIs com script módulo exibido. Se a ingestão de evento não estiver listada na coluna Nome do `REST APIs com script` lista exibida, no campo de pesquisa na parte superior, insira `Ingestão de evento` . Na coluna Caminho da API base na página atualizada, copie este valor e cole-o no campo Endpoint do formulário. Um exemplo de caminho de api base é, `/api/sn_sec_splunk_v2/event_ingestion` .
Nome do usuário	Nome de usuário do ServiceNow AI Platform instância. Este nome é o nome de usuário do ServiceNow AI Platform instância na qual você atribuiu a um usuário a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos. Para obter mais informações sobre como atribuir esta função, consulte Configure seu ServiceNow AI Platform instância do Splunk Enterprise Event Ingestion integração.
Senha	Senha do ServiceNow AI Platform instância. Esta senha é a senha do ServiceNow AI Platform instância na qual você atribuiu a um usuário a função (sn_sec_splunk_v2.api_account_access) para encaminhamento manual de eventos.
(Opcional) Campos na seção Especificar instância secundária da ServiceNow	Descrição Esses campos são opcionais. Você não precisa especificar uma instância secundária.
Rótulo da ação do fluxo de trabalho	Nome do ServiceNow AI Platform fluxo de trabalho para sua instância secundária (preparação). Este nome é o nome de um ServiceNow AI Platform instância que seus usuários que estão monitorando Splunk os eventos são identificados como uma instância secundária, por exemplo, ServiceNow Ingestão de evento (preparação). Em seu Splunk Enterprise Security Este nome de fluxo de trabalho é exibido para a instância de preparação (secundária) na lista suspensa Ações de evento expandidas de uma pesquisa. Isso ServiceNow AI Platform a instância é sua instância de preparação. Você pode editar o nome.
URL	O URL do ServiceNow AI Platform Instância que você inseriu no campo Rótulo de ação de fluxo de trabalho anterior para o secundário ServiceNow AI Platform instância. Copie o URL no seu navegador e cole-o neste campo no formulário.
Endpoint	Caminho da API de base. O valor do caminho da API base para sua instância secundária é o mesmo valor do caminho da API base para sua instância primária. Consulte a figura anterior do formulário para obter mais informações.
Nome do usuário	Nome de usuário do ServiceNow AI Platform instância de preparação. O usuário deve ter a função (sn_sec_splunk_v2.api_account_access).
Senha	Senha do ServiceNow AI Platform instância de preparação. O usuário deve ter a função (sn_sec_splunkes.api_account_access).

A figura a seguir é um exemplo da lista REST APIs com script em seu ServiceNow AI Platform. A lista exibe o local do valor de endpoint de um ServiceNow AI Platform instância que você insere no formulário como parte da configuração para ServiceNow Complemento de ingestão de evento de operações de segurança para Splunk Enterprise Security extensão em seu Splunk Enterprise Security console.
Caminho da API de base realçado.

No formulário de configuração do seu Splunk Enterprise Security console, clique em Salvar para salvar suas edições.

Após alguns momentos, na parte superior esquerda do formulário em seu Splunk Enterprise Security uma mensagem é exibida informando que o registro foi atualizado com sucesso.

Depois de salvar o formulário, os nomes (rótulos de ação de fluxo de trabalho) do seu ServiceNow AI Platform As instâncias que você criou no formulário estão disponíveis na lista de seleção Ações de evento em um evento selecionado de uma pesquisa em seu Splunk Enterprise Security console.

O que Fazer Depois

Se você ainda não salvou as pesquisas em seu Splunk Enterprise Security console, a próxima etapa é salvar pesquisas como alertas em seu Splunk Enterprise Security console.