Sélectionner les alertes planifiées pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Une fois que vous avez créé un profil pour une alerte planifiée, sélectionnez une Splunk alerte pour ce profil que vous souhaitez mapper à un Now Platform Réponse aux incidents de sécurité incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Affichez les alertes disponibles dans votre Now Platform instance afin de savoir quelles valeurs de champ sont disponibles pour le mappage. Sélectionnez une alerte pour vérifier que vous recevez les résultats attendus sur la mise en page de formulaire de base avant de mapper les valeurs aux champs sur SIR les incidents de sécurité. Vous ne pouvez sélectionner qu’une seule alerte dans la liste de ce formulaire.

    Procédure

    1. Si la page de sélection d’alerte n’est pas affichée, sélectionnez-la dans la barre de progression pour l’afficher.
      Par défaut, l’application de recherche et de reporting principale est sélectionnée.
    2. Si l’alerte à ingérer fait partie d’une autre Splunk application, sélectionnez Sélection d’application Splunk et choisissez votre Splunk application dans la liste des applications sélectionnées .
    3. Dans la liste des alertes, choisissez une alerte et déplacez-la de la colonne Disponible vers la colonne Sélectionné .
      Vous pouvez également choisir plusieurs alertes. Si les alertes sont sélectionnées dans le cadre d’un profil unique, les alertes auront des mappages de champs et des paramètres de profil communs.

      La liste des alertes de ce formulaire correspond à la liste des alertes de votre Splunk console. Jusqu’à 500 alertes sont affichées sur ce formulaire. Si plus de 500 alertes sont répertoriées dans votre console Splunk sur la page Alertes, seules les 500 premières alertes sont affichées sur ce formulaire dans votre Now Platform instance.

      Option Description
      Dans le champ de recherche Liste d’alertes, saisissez du texte. La colonne située sous le champ de recherche est filtrée avec les options disponibles en fonction du texte que vous entrez. Sélectionnez une alerte et, à l’aide des touches fléchées, déplacez l’alarme sélectionnée de Disponible à Sélectionné.
      Dans la liste des alertes, double-cliquez sur une alerte. La colonne Sélectionné est renseignée avec votre sélection.
      Dans la liste d’alertes, cliquez sur une règle d’alarme. L’alarme est sélectionnée. À l’aide des touches fléchées, déplacez l’alerte sélectionnée de Disponible à Sélectionné.
      Sélectionnez une alerte pour un profil d’événement planifié.
    4. Choisissez une option pour continuer.
      OptionDescription
      Poursuivez ou cliquez sur Mappage dans la barre de progression Le formulaire Mappage s’affiche.

      Le mappage est sélectionné dans la barre de progression. L’étape suivante consiste à mapper les champs d’alerte à un SIR incident de sécurité.
      Mettre à jour Vos données sont enregistrées et la liste des profils d’événements Splunk s’affiche.
      Précédent L’étape Nom s’affiche.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événements Splunk s’affiche.

    Que faire ensuite

    Vous avez sélectionné avec succès une alerte pour un profil d’alerte planifiée. L’étape suivante consiste à mapper les valeurs d’alerte aux champs d’un incident de sécurité.