Verwenden Sie den Skript-Editor, um Korrelations-Event-Werte für die ArcSight ESM -Integration zu formatieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie zusätzlich zu den direkt zugeordneten Feldern aus den erfassten Korrelationsereigniswerten den Skript-Editor, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Der Skript-Editor ändert die Werte eines ArcSight ESM -Korrelations-Event-Felds, sodass Werte, die vom Now Platform SIR -Security Incident unterstützt werden, der Kategorie, dem Konfigurationselement (CI), dem erkennbaren Element und anderen Security Incident-Feldern zugeordnet werden.

    In bestimmten Fällen werden ArcSight ESM Korrelationsereigniswerte Referenzfeldern wie „Kategorie“, „Configuration Item (CI)“ und „Erkennbares Element“ im Security Incident zugeordnet. Als Benutzer mit der Rolle sn_si.admin ziehen Sie es möglicherweise vor, die zugeordneten Event-Feldwerte zu bearbeiten, um Format- oder Datenwerte so zu übersetzen, dass sie den erwarteten Incident-Feldformaten und -Werten entsprechen. Wenn Sie den Wert eines Korrelationsereignisses ArcSight ESM in einen Wert übersetzen möchten, der von diesen Feldern im Security Incident SIR unterstützt wird, verwenden Sie den Skript-Editor.

    Prozedur

    1. Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skript-Editor zu öffnen.
    2. Wählen Sie in der Auswahlliste ein Zielfeld für den Wert aus, den Sie bearbeiten möchten.
    3. Alternativ können Sie im Abschnitt SIR-Incident-Feldzuordnung auf das Klammersymbol [{}] neben einem Feld klicken, um den Skript-Editor für dieses Feld zu öffnen.

      In bestimmten Fällen kann eine Skripteinbindung für das Feld Configuration Item geeignet sein. Für ein Korrelationsereignis kann beispielsweise ein Wert für das Konfigurationselement nicht abgeglichen werden.

      Wie in der folgenden Abbildung dargestellt, können Sie, wenn in der Now Platform CMDB für das Feld „Konfigurationselement“ keine Übereinstimmung mit einem Hostnamen gefunden wird, die Regel so bearbeiten, dass das Feld „Konfigurationselement“ ausgefüllt wird, wenn eine IP-Adresse gefunden wird.

      Der Editor wird geöffnet, und das Feld wird in Zielfeld angezeigt.
    4. Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um Ihre Änderungen zu speichern.
      Die Tabelle ArcSight ESM „ Feldübersetzungen“ wird angezeigt.
    5. Schließen Sie die Tabelle, um zum Formular „Zuordnung“ zurückzukehren.