Visualizar o incidente de segurança da integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Depois de concluir a etapa de mapeamento, visualize os valores que você mapeou em um Now Platform® Security Incident Response (SIR) incidente de segurança. Esta etapa de visualização permite que você verifique se mapeou todos os campos de alerta que deseja exibir no incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Visualize um incidente de segurança e edite o mapeamento novamente conforme necessário para corrigir campos com erros ou para preencher quaisquer dados ausentes. Se a visualização não for concluída com sucesso, você não poderá prosseguir para a etapa de programação. As visualizações de SIR incidentes de segurança não são salvas como incidentes reais no produto SIR.

    Procedimento

    1. Se a visualização do incidente de segurança não for exibida, clique em Visualizar na barra de andamento.
    2. Selecione o Nome do Alerta e um item na lista de IDs de Alerta de Amostra.
      Selecionar lista de seleção de alertas expandida.

      O incidente de segurança é exibido. Não altere nenhuma informação nos campos. Esta exibição é somente leitura e um registro deste incidente de segurança não é salvo.

    3. Revise o mapeamento de campo dos valores de alerta no incidente de segurança.
      Mensagem de erro em um incidente de segurança na visualização.

      A imagem anterior é um exemplo de uma visualização com um erro de mapeamento. Neste exemplo, um campo no incidente de segurança não existe para um valor ou o campo não é compatível com o valor que você mapeou. Uma mensagem de erro é exibida indicando que um valor de entrada não foi encontrado para o campo Item de configuração.

    4. Para resolver este erro, clique em Mapeamento na barra de andamento.
    5. Edite o mapeamento para corrigir valores incorretos ou preencha os dados ausentes.
    6. Visualize o mapeamento novamente e continue a corrigir os erros descritos nas mensagens de erro.

      A figura a seguir é um exemplo da guia Detalhes do incidente na metade inferior de um incidente de segurança SIR depois que todas as mensagens de erro são resolvidas. Para este exemplo, os campos Descrição e Anotações de trabalho foram mapeados e esses campos são preenchidos com os valores dos pares de valores extraídos do console Splunk Enterprise. O primeiro campo Anotações de trabalho não tem valor. Este campo foi deixado em branco na grade de mapeamento durante a etapa de mapeamento. Os campos de anotação de trabalho adicionais que têm valores foram adicionados à grade de mapeamento durante a etapa de mapeamento.

      Campos Anotação de trabalho e Descrição na visualização do incidente de segurança.
    7. Depois de corrigir todos os erros e verificar se os campos estão como você deseja, escolha uma opção para continuar.
      OpçãoDescrição
      Continuar O formulário Programação é exibido para perfis com alertas programados.

      Aprogramação é selecionada na barra de andamento.
      Concluir Para perfis configurados para encaminhamento manual de eventos, clique em Concluir. Não há etapa de programação para perfis com dados de evento que são exportados sob demanda diretamente do console Splunk Enterprise.
      Atualizar Seus dados são salvos e você retorna à lista Splunk de Perfis de eventos.
      Anterior A etapa Mapeamento na barra de andamento é exibida.
      Excluir Exclua este perfil de evento e a lista Splunk de Perfis de Evento será exibida.

    O que Fazer Depois

    Se nenhuma mensagem de erro for exibida e você estiver satisfeito com o mapeamento de campos no incidente de segurança, a próxima etapa é Programar e recuperar alertas para a integração Splunk Enterprise Event Ingestion.