Splunk ES 注目イベントのインシデントレビューと貢献イベントの詳細のマッピング作成 (手動転送)
注目イベントフィールドマッピングのステップでは、注目イベントから個々のイベントフィールドを (Now Platform セキュリティインシデントレスポンスSIR) セキュリティインシデントのフィールドにマップします。
始める前に
必要なロール:sn_si.ingestion_profile_admin
注:
sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。
このタスクについて
フォームの左側にある [注目イベントサンプルの取り込み] 列から、右側の [SIR インシデントフィールドマッピング] 列のセキュリティインシデントフィールドに最大 5 つの注目イベントをマッピングします。
フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。SIR インシデントフォームに入力する通常重要なフィールドであるデフォルトフィールドが表示されます。ただし、[+] および [-] ボタンを使用して、これらのフィールドを削除し、追加のフィールドを表示することができます。フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。フィールドをカスタマイズすると、SIR セキュリティインシデントのデフォルトのマッピンググリッドに表示されていない Splunk フィールドをマッピングできます。
手順
- このマッピングフォームが表示されない場合は、進捗状況バーの [マッピング] をクリックします。
-
Now Platform® インスタンスに添付ファイルデータをアップロードするには、これらのステップを実行します。
-
注目イベントを展開し、[フィールド] 列でインポートするフィールドを選択します。
これらのフィールドは、Now Platform® インスタンスの [マッピング] ページにエクスポートされて表示されるフィールドと値のペアです。
-
[エクスポート] をクリックします。
エクスポートされた Splunk 注目イベントの XML ファイルを Now Platform® インスタンスにアップロードする必要があります。 -
[注目イベントサンプルの取り込み] 列で、[添付ファイルデータをロード] をクリックします。
-
注目イベントを展開し、[フィールド] 列でインポートするフィールドを選択します。
- 注目イベントのマッピング セクションのステップ 5 〜 10 に従います。