스크립트 편집기를 사용하여 통합을 위한 ArcSight ESM 상관관계 이벤트 값의 형식을 지정합니다

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기1분

    • 수집된 상관관계 이벤트 값에서 직접 매핑된 필드 외에도 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값을 포맷합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    스크립트 편집기는 보안 인시던트가 지원하는 Now Platform SIR 값이 범주, CI(구성 항목), 옵저버블 및 기타 보안 인시던트 필드에 매핑되도록 상관관계 이벤트 필드의 ArcSight ESM 값을 변경합니다.

    경우에 ArcSight ESM 따라 상관관계 이벤트 값이 보안 인시던트의 범주, CI(구성 항목) 및 옵저버블 필드와 같은 참조 필드에 매핑됩니다. sn_si.admin 역할을 가진 사용자는 매핑된 이벤트 필드 값을 편집하여 형식 또는 데이터 값을 인시던트 필드 형식 및 예상 값에 맞게 변환할 수 있습니다. 상관관계 이벤트의 ArcSight ESM 값을 보안 인시던트의 이러한 필드 SIR 에서 지원하는 값으로 변환하려면 스크립트 편집기를 사용합니다.

    프로시저

    1. 매핑 양식이 표시되면 링크를 클릭하여 스크립트 편집기를 엽니다.
    2. 선택 목록에서 편집할 값의 대상 필드를 선택합니다.
    3. 또는 SIR 인시던트 필드 매핑 섹션에서 필드 옆에 있는 대괄호 아이콘 [{}] 을 클릭하여 해당 필드의 스크립트 편집기를 엽니다.

      경우에 따라 스크립트 포함이 구성 항목 필드에 적합할 수 있습니다. 예를 들어 상관관계 이벤트의 경우 구성 항목의 값이 일치하지 않을 수 있습니다.

      다음 그림에서 볼 수 있듯이 구성 항목 필드의 Now Platform CMDB에서 호스트 이름과 일치하는 항목을 찾을 수 없는 경우 IP 주소가 발견되면 구성 항목 필드가 채워지도록 규칙을 편집할 수 있습니다.

      대상 필드에 필드가 표시된 상태로 편집기가 열립니다.
    4. 스크립트에 대한 변경 사항을 입력하고 업데이트를 클릭하여 변경 내용을 저장합니다.
      ArcSight ESM 필드 번역 테이블이 표시됩니다.
    5. 테이블을 닫고 매핑 양식으로 돌아갑니다.