Use o editor de scripts para formatar valores de alerta para Splunk Enterprise Security Integração de ingestão de evento
Além dos campos mapeados diretamente a partir dos valores de eventos notáveis ingeridos e dos valores inseridos manualmente, use o editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.
Antes de Iniciar
Função necessária: sn_si.ingestion_profile_admin
Por Que e Quando Desempenhar Esta Tarefa
Em determinados casos, Splunk Enterprise Security Valores de evento notáveis são mapeados para os campos Categoria, Item de configuração (IC) e Observável no SIR incidentes não são compatíveis. Você pode preferir editar os valores mapeados. Se você quiser traduzir o valor de um Splunk Enterprise Security evento notável para um valor que é compatível com esses campos no SIR incidente de segurança, use o editor de scripts.
Procedimento
-
Com o formulário de mapeamento exibido, clique no link para abrir o editor de scripts.
-
Como alternativa, na seção Mapeamento de campo de incidente SIR, clique no ícone de colchete [] ao lado de um campo para abrir o editor de script desse campo.
Em determinados casos, uma inclusão de script pode ser apropriada para o campo Item de configuração. Para um evento notável, por exemplo, um valor para o item de configuração pode não ser correspondido.
Se não for possível encontrar uma correspondência para um nome de host em ServiceNow AI Platform® CMDB Para o campo Item de configuração, você pode editar a regra para que, se um endereço IP for encontrado, ele preencha o campo Item de configuração. Se não houver valor para o alarme, o campo no incidente de segurança será definido como nulo.
O editor é aberto com o campo exibido em Campo de destino. A imagem a seguir mostra o editor com Item de configuração Campo como o Campo de destino.