Use o editor de scripts para formatar valores de alerta para Splunk Enterprise Event Ingestion integração

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Use o editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.

    Antes de Iniciar

    Além dos campos mapeados diretamente dos valores de alerta extraídos e dos valores de alerta inseridos manualmente, você pode usar opcionalmente o editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. O editor de script muda os valores de um Splunk alerta para que os valores que são compatíveis com ServiceNow AI Platform® Resposta a incidentes de segurança Os incidentes de segurança são mapeados para os campos Categoria, Item de configuração (IC) e Observável.

    Função necessária: sn_si.ingestion_profile_admin

    Nota:
    Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

    Por Que e Quando Desempenhar Esta Tarefa

    Em determinados casos, Splunk Enterprise Os valores de alerta são mapeados para os campos Categoria, Item de configuração (IC) e Observável no SIR incidente e não são compatíveis. Você pode preferir editar os valores mapeados. Se você quiser traduzir o valor de um Splunk Enterprise alerta para um valor compatível com esses campos no SIR incidente de segurança, use o editor de scripts.

    Procedimento

    1. Com o formulário de mapeamento exibido, clique no link para abrir o editor de scripts.
      Link Clique aqui para o editor de script realçado.
    2. Na lista de seleção, selecione um campo de destino para o valor que você deseja editar.
    3. Como alternativa, na seção Mapeamento de campo de incidente SIR, clique no ícone de colchete [] ao lado de um campo para abrir o editor de script desse campo.

      Em determinados casos, uma inclusão de script pode ser apropriada para o campo Item de configuração. Para um alerta, por exemplo, um valor para o item de configuração pode não ser correspondido.

      Se não for possível encontrar uma correspondência para um nome de host em ServiceNow AI Platform® CMBD Para o campo Item de configuração, você pode editar a regra para que, se um endereço IP for encontrado, ele preencha o campo Item de configuração. Se não houver valor para o alarme, o campo no incidente de segurança será definido como nulo.

      O editor é aberto com o campo exibido em Campo de destino. A imagem a seguir mostra o editor com Item de configuração Campo como o Campo de destino.
      Editor de scripts.
    4. Insira as mudanças no script e clique em Atualização para salvar suas mudanças.
      . Splunk A tabela Traduções de campo é exibida.
    5. Feche a tabela para retornar ao formulário Mapeamento.