Mapeamento de alertas e eventos para Splunk Enterprise Event Ingestion integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Depois de identificar as origens para ingestão de alertas programada ou encaminhamento manual de eventos, a próxima etapa é mapear campos de evento individuais para os campos em um ServiceNow AI Platform Resposta a incidentes de segurança( SIR incidente de segurança.

    Visão geral de alertas e eventos de mapeamento

    Para a etapa de mapeamento, como um usuário com sn_si.ingestion_profile_admin , você ingira alertas de amostra do seu Splunk Enterprise ou você exporta dados de evento para um Splunk Enterprise evento.

    As figuras a seguir são exemplos das grades de mapeamento padrão fornecidas para cada tipo de perfil de evento. Este mapeamento padrão pode ser editado. Esta modificação permite personalizar os campos que preenchem o incidente de segurança. Com a etapa de mapeamento, você pode visualizar como adicionar ou remover campos de evento afeta o. SIR valores do campo de incidente de segurança.

    Selecione Nome do alerta e depois de clicar em para Buscar dados de amostra . Splunk os valores do campo de alerta são preenchidos no lado esquerdo do formulário quando alertas de amostra são ingeridos pelo perfil. . Splunk campos de alerta que você mapeia para SIR campos de incidente de segurança.

    Figura 1. Formulário de mapeamento padrão para alertas
    Formulário de mapeamento padrão para alertas.

    Depois de clicar para carregar dados de anexo para eventos encaminhados, o. Splunk os campos de evento são preenchidos no lado esquerdo do formulário. . Splunk campos de dados mapeados para SIR campos de incidente de segurança.

    Figura 2. Formulário de mapeamento padrão para eventos encaminhados
    Formulário de mapeamento padrão para eventos.

    Você pode preferir revisar alguns alertas de amostra em seu Splunk console para ingerir na etapa de configuração de mapeamento de campo. Esta etapa é rotulada, Mapeamento na barra de andamento. Se esta página não for exibida, clique em Mapeamento na barra de andamento.

    Mapeamento de alertas e exportação de eventos sob demanda do seu Splunk o console enterprise inclui os seguintes conceitos e tarefas:
    • Busque dados de amostra para perfis de alerta ingeridos automaticamente. Depois que os dados são obtidos (extraídos) de um alerta disparado no Splunk Enterprise os campos de alerta disponíveis e seus valores correspondentes são exibidos em um layout de mapeamento padrão no lado esquerdo do formulário de mapeamento. As guias são exibidas para você exibir os valores de um ID de alerta que você extraiu. Verifique se todos os campos críticos da seção Ingestão de amostra de alerta à esquerda do formulário estão mapeados para a grade à direita do formulário.
    • Se necessário, carregue dados de amostra de evento para qualquer perfil de evento encaminhado manualmente. Os dados de amostra desses eventos são exportados em um .xml arquivo do Splunk Enterprise e carregados em seu ServiceNow AI Platform® instância. Os dados importados são exibidos na seção Ingestão de amostra de alerta à esquerda do formulário.
    • Edite a configuração de mapeamento arrastando alertas do lado esquerdo e soltando-os na grade de mapeamento à direita. A grade de mapeamento à direita associa o campo Alerta de entrada a um campo de incidente de segurança de saída.
    • Personalize a grade de mapeamento adicionando ou removendo campos. Rastreie campos ignorados ou duplicados com a codificação de cores fornecida.
    • Defina condições de filtro para que você possa especificar quais alertas serão ingeridos em SIR e quais alertas são filtrados.
    • Defina critérios de campo de incidente adicionais que agreguem um alerta de entrada a um existente SIR incidente de segurança para evitar incidentes duplicados. Esta filtragem adicional pode reduzir o número de incidentes de segurança ativos sobrepostos, colocando todos os dados de eventos de segurança relacionados em um único incidente de segurança.
    • Em determinados casos, os valores do campo de evento no Splunk O console do Enterprise pode não ser traduzido diretamente para os campos no SIR incidente de segurança. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de scripts, os valores de campo Alerta de malware e Infecção por vírus no Splunk O console é convertido em Atividade de código mal-intencionado no campo Categoria no SIR incidente de segurança.

    Perfis de alerta programados

    Depois de criar um perfil de alerta programado, o fluxo do processo para a configuração é mostrado na figura a seguir.

    Figura 3. Fluxo do processo para perfis de alerta programados
    Fluxo do processo para alerta programado.

    Perfis de encaminhamento de eventos manuais

    Depois de criar um perfil para um evento, o fluxo do processo para a configuração é mostrado na figura a seguir.

    Figura 4. Fluxo do processo para perfis de evento
    Fluxo do processo para exportação de evento.

    A próxima etapa é ingerir alertas acionados ou exportar dados e mapear valores para SIR campos de incidente de segurança.