Affichage d’un aperçu de l’incident de sécurité avec des valeurs d’alarme mappées LogRhythm
Une fois l’étape de mappage terminée, prévisualisez les valeurs que vous avez mappées aux champs de l’incident de sécurité. Cette étape d’aperçu vous permet de vérifier que vous avez mappé tous les champs d’alarme critiques LogRhythm que vous souhaitez afficher sur l’incident de sécurité.
Rôle requis : sn_si.admin.
Incident de sécurité
Si l’aperçu de l’incident de sécurité ne s’affiche pas, cliquez sur Aperçu dans la barre de progression.
Les deux figures suivantes illustrent un exemple d’aperçu de l’ensemble de l’incident ServiceNow AI Platform de sécurité. Cet exemple d’aperçu de l’incident de sécurité est renseigné avec les champs d’alarmes mappés à partir de l’échantillon LogRhythm d’alarme 13663.
La figure suivante renseigne les champs Élément de configuration, Utilisateur affecté, Priorité, Groupe d’affectation et Description brève de l’incident de sécurité.
Le champ Description est renseigné dans la moitié inférieure du formulaire d’incident de sécurité. Dans la section Éléments connexes, les champs Élément de configuration, Observable et Note de travail sont renseignés avec des valeurs. Si plusieurs valeurs de ces champs sont mappées, chaque valeur s’affiche sur l’incident de sécurité, car chacun de ces champs peut en accepter plusieurs.
Conditions d’erreur dans l’aperçu
Les messages d’avertissement suivants peuvent s’afficher lors de l’aperçu de l’incident de sécurité. Si un échantillon d’alarme ne répond pas aux critères de filtrage, l’incident de sécurité n’est pas renseigné dans son intégralité.
Valeur d’entrée introuvable
Si l’ID d’alarme est inclus dans les conditions de filtrage, un message d’avertissement peut toujours s’afficher si des valeurs d’entrée spécifiques ne sont pas trouvées pour certains champs mappés. Pour les besoins de l’exemple suivant, dans l’aperçu de l’enregistrement, supposons qu’il n’y a aucune valeur dans le champ Affecté à , bien qu’il ait été mappé.
Pour ce type de message, dans l’enregistrement Mappage, vérifiez que la valeur entrée est correcte. Dans ce cas, la personne dans le champ Affecté à de l’incident de sécurité est incorrecte dans l’instance ServiceNow AI Platform . Lorsque cette alarme est ingérée et qu’elle crée un incident de sécurité avec cette condition, les champs avec cette valeur d’entrée (Abel Tuter) sont laissés vides dans l’incident de sécurité.
Les autres messages en bleu sont informatifs et indiquent que ces champs n’ont aucune valeur à afficher dans l’aperçu. Cet aperçu permet à l’administrateur d’incident de sécurité qui configure le profil d’alarme de vérifier que ces champs ne doivent pas avoir de valeur à l’étape de création initiale, car dans certains cas, les champs d’incident de sécurité peuvent être renseignés automatiquement ultérieurement. D’autres erreurs de mappage sont également affichées.
Une fois que vous êtes satisfait du mappage et de l’aperçu de l’incident de sécurité, choisissez-en un pour poursuivre la configuration.
| Option | Description |
|---|---|
| Cliquez sur Continuer ou Planification dans la barre de progression. | Passez au formulaire Planification et récupération d’alarme . Scheduling & Alarm Retrieval est sélectionné dans la barre de progression. L’étape suivante consiste à planifier la récupération de l’alarme. |
| Cliquez sur Précédent. | Revenez au profil d’alarme et poursuivez le mappage. |
| Entrez un autre ID d’alarme dans la liste de choix d’ID d’échantillon d’alarme en haut du formulaire d’aperçu. | La liste de choix d’ID d’échantillon d’alarme s’affiche pour chaque ID d’alarme que vous avez saisi. Vous pouvez sélectionner jusqu’à cinq alarmes. Cette option vous permet de prévisualiser un autre LogRhythm ID d’alarme sur un incident de sécurité. |
Une fois que vous avez prévisualisé l’incident de sécurité et que vous êtes satisfait des résultats, l’étape suivante consiste à Planifier et récupérer LogRhythm les alarmes.