Utiliser l’éditeur de script pour formater les valeurs d’événements de corrélation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Outre les champs directement mappés à partir des valeurs d’événement de corrélation ingérées, utilisez l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    L’éditeur de script modifie les valeurs d’un ArcSight ESM champ d’événement de corrélation de sorte que les valeurs prises en charge par l’incident ServiceNow AI Platform SIR de sécurité soient mappées aux champs Catégorie, Élément de configuration (CI), Observable et autres champs d’incident de sécurité.

    Dans certains cas, ArcSight ESM les valeurs d’événement de corrélation sont mappées à des champs de référence tels que les champs Catégorie, Élément de configuration (CI) et Observable sur l’incident de sécurité. En tant qu’utilisateur disposant du rôle sn_si.admin, vous pouvez préférer modifier les valeurs de champ d’événement mappées pour traduire les valeurs de format ou de données afin de les rendre conformes aux formats de champ d’incident et aux valeurs attendues. Si vous souhaitez convertir la valeur d’un ArcSight ESM événement de corrélation en une valeur prise en charge par ces champs sur l’incident SIR de sécurité, utilisez l’éditeur de script.

    Procédure

    1. Une fois le formulaire de mappage affiché, cliquez sur le lien pour ouvrir l’éditeur de script.
    2. Dans la liste de choix, sélectionnez un champ de destination pour la valeur que vous souhaitez modifier.
    3. Sinon, dans la section Mappage de champ d’incident SIR, cliquez sur l’icône de crochet [{}] en regard d’un champ pour ouvrir l’éditeur de script correspondant à ce champ.

      Dans certains cas, un include de script peut être approprié pour le champ Élément de configuration. Pour un événement de corrélation, par exemple, une valeur de l’élément de configuration peut ne pas être mise en correspondance.

      Comme le montre la figure suivante, si une correspondance pour un nom d’hôte ne peut être trouvée dans la ServiceNow AI Platform CMDB pour le champ Élément de configuration, vous pouvez modifier la règle de sorte que si une adresse IP est trouvée, elle remplit le champ Élément de configuration.

      L’éditeur s’ouvre avec le champ affiché dans le champ Destination.
    4. Entrez les modifications apportées au script, puis cliquez sur Mettre à jour pour enregistrer vos modifications.
      La ArcSight ESM table Traductions de champ s’affiche.
    5. Fermez la table pour revenir au formulaire de mappage.