Manuelle Suchbefehle
Manuelle Suchbefehle werden in einem beliebigen Suchfenster eingegeben. Sie können einen Security Incident oder ein Event erstellen. Nach dem Befehl gibt es Paare von Feldnamen und Werten, die zum Erstellen des gewünschten Datensatzes verwendet werden.
Sicherheitsereignis
Der Sicherheitsereignisbefehl snseceventerstellt ein Ereignis in ServiceNow mit der Klassifizierung Security.
Diese Events können einzeln überprüft werden, oder Warnungsregeln in ServiceNow oder manuelle Aktionen können ein Event oder eine Sammlung von Events in einen Security Incident umwandeln.
| Parametername | Erforderlich | Verwenden | Wird in Security Incident verwendet |
|---|---|---|---|
| Knoten | Ja | Der Knoten stellt den Server oder das Konfigurationselement für das Event dar. Idealerweise ist dieser Knoten einem vorhandenen CI in ServiceNowzugeordnet. | Wird in Security Incident verwendet |
| type | Ja | Kategorie des Events. | Kurzbeschreibung |
| Ressource | Ja | Das Konfigurationselement. | Kurzbeschreibung |
| Quelle | Nein | Der Ursprung dieser Daten. Standardmäßig generiert der Splunk-Server die Daten. | Aktivitätsprotokoll |
| external_url | Nein | Die in ServiceNow zu verwendende Drilldown-URL, um zu den Splunk-Daten zu diesem Event zurückzukehren. Standardmäßig enthält diese URL den Ergebnislink für eine Warnung oder einen Link zur standardmäßigen Splunk-Suchseite. | Externe URL, auf die über die Schaltfläche Drilldown im Security Incident-Formular zugegriffen wird |
| time_of_event | Nein | Die Zeit, zu der das Event in Splunk protokolliert wurde. | N/V |
| Alle anderen Werte (Kategorie, Unterkategorie im Beispiel) | Nein | Jedes Feld, das nicht Teil des Informationsfelds im Event ist. Wenn ein Security Incident erstellt wird, wird er verwendet. | Wenn das Feld vorhanden und nicht ausgefüllt ist, verwendet der Security Incident diesen Wert. Beispielsweise wird die durch das Event übergebene Kategorie zur Kategorie des neuen Security Incidents. Wenn ein Feld mit diesem Namen nicht vorhanden ist, wird der Wert im Aktivitätsprotokoll gespeichert. |
Sicherheitsvorfall
Der Security Incident-Befehl snsecincidenterstellt einen Security Incident in Ihrer Instanz ServiceNow.
| Parameter | Erforderlich | Verwenden |
|---|---|---|
| short_description | Ja | Eine kurze, einzeilige Beschreibung des Incidents. |
| Kategorie | Nein | Die Kategorie des Security Incident. Wenn diese Kategorie nicht vorhanden ist, wird sie erstellt. |
| Unterkategorie | Nein | Die Unterkategorie. Wenn diese Unterkategorie nicht vorhanden ist, wird sie erstellt. |
| cmdb_ci | Nein | Das Konfigurationselement für den Security Incident Idealerweise wird dieses Element einem vorhandenen CI in ServiceNowzugeordnet. |
| Beschreibung | Nein | Die längere, detaillierte Beschreibung des Incident. |
Es gibt viele mögliche nützliche Spalten – alles in der Security Incident-Transformationszuordnung kann verwendet werden. Wenn dem Security Incident neue Spalten hinzugefügt werden, werden sie ebenfalls verwendet, solange sie sich in der Transformationszuordnung befinden. Einige nützliche Spalten: „location“, „priority“, „assignment_group“, „assigned_to“, „affid_user“, „attach_vector“ und „watch_list“.