Wählen Sie geplante Warnungen für die Splunk Enterprise Event Ingestion -Integration aus

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie ein Profil für eine geplante Warnung erstellt haben, wählen Sie eine Splunk Warnung für dieses Profil aus, die Sie einem Now Platform Security Incident Response Security Incident zuordnen möchten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Warnungen in Ihrer Instanz Now Platform an, damit Sie wissen, welche Feldwerte für die Zuordnung verfügbar sind. Wählen Sie eine Warnung aus, um sicherzustellen, dass Sie die erwarteten Ergebnisse im Basisformularlayout erhalten, bevor Sie die Werte Feldern in SIR Security Incidents zuordnen. Sie können in diesem Formular nur eine Warnung aus der Liste auswählen.

    Prozedur

    1. Wenn die Seite „Warnungsauswahl“ nicht angezeigt wird, wählen Sie sie in der Fortschrittsleiste aus, um sie anzuzeigen.
      Standardmäßig ist die Core Search & Reporting-App ausgewählt.
    2. Wenn die zu erfassende Warnung Teil einer anderen App Splunk ist, wählen Sie Splunk-App-Auswahl und dann Ihre App Splunk aus der Liste Ausgewählte App aus.
    3. WählenSie in der Warnungsliste eine Warnung aus, und verschieben Sie sie aus der Spalte Verfügbar in die Spalte Ausgewählt.
      Sie können auch mehrere Warnungen auswählen. Wenn die Warnungen als Teil eines einzelnen Profils ausgewählt werden, weisen die Warnungen gemeinsame Feldzuordnungen und Profileinstellungen auf.

      Die Liste der Warnungen in diesem Formular stimmt mit der Liste der Warnungen in Ihrer Splunk -Konsole überein. In diesem Formular werden bis zu 500 Warnungen angezeigt. Wenn in Ihrer Splunk-Konsole auf der Seite „Warnungen“ mehr als 500 Warnungen aufgelistet sind, werden in diesem Formular in Ihrer Now Platform -Instanz nur die ersten 500 Warnungen angezeigt.

      Option Beschreibung
      Geben Sie im Suchfeld der Warnungsliste Text ein. Die Spalte unter dem Suchfeld wird basierend auf dem von Ihnen eingegebenen Text mit verfügbaren Optionen gefiltert. Wählen Sie eine Warnung aus, und verschieben Sie den ausgewählten Alarm mit den Pfeiltasten von Verfügbar zu Ausgewählt.
      Doppelklicken Sie in der Warnungsliste auf eine Warnung. Die Spalte Ausgewählt wird mit Ihrer Auswahl ausgefüllt.
      Klicken Sie in der Warnungsliste einmal auf eine Warnungsregel. Der Alarm ist ausgewählt. Verschieben Sie die ausgewählte Warnung mit den Pfeiltasten von Verfügbar zu Ausgewählt.
      Wählen Sie eine Warnung für ein geplantes Event-Profil aus.
    4. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortfahren, oder klicken Sie alternativ in der Fortschrittsleiste auf Zuordnung Das Zuordnungsformular wird angezeigt.

      Zuordnung wird auf der Fortschrittsleiste ausgewählt. Der nächste Schritt besteht darin, Warnungsfelder einem SIR Security Incident zuzuordnen.
      Aktualisieren Ihre Daten werden gespeichert, und die Liste der Splunk-Ereignisprofile wird angezeigt.
      Zurück Der Schritt Name wird angezeigt.
      Löschen Löschen Sie dieses Event-Profil, und die Liste der Splunk-Event-Profile wird angezeigt.

    Nächste Maßnahme

    Sie haben erfolgreich eine Warnung für ein geplantes Warnungsprofil ausgewählt. Der nächste Schritt besteht darin, Warnungswerte Feldern in einem Security Incident zuzuordnen.