Verwenden Sie den Skript-Editor, um Warnungswerte für die Splunk Enterprise Security Event Ingestion-Integration zu formatieren
Zusätzlich zu den direkt zugeordneten Feldern aus den erfassten Werten für wichtige Ereignisse und den Werten, die Sie manuell eingeben, verwenden Sie den Skript-Editor, um Feldwerte im Security Incident während des Zuordnungsschritts zu formatieren.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Warum und wann dieser Vorgang ausgeführt wird
In bestimmten Fällen werden die Werte für erkennbare Ereignisse Splunk Enterprise Security den Feldern „Kategorie“, „Configuration Item (CI)“ und „Erkennbares Element“ im Incident SIR nicht unterstützt. Möglicherweise möchten Sie die zugeordneten Werte bearbeiten. Wenn Sie den Wert eines wichtigen Ereignisses Splunk Enterprise Security in einen Wert übersetzen möchten, der von diesen Feldern im Security Incident SIR unterstützt wird, verwenden Sie den Skript-Editor.
Prozedur
-
Klicken Sie bei angezeigtem Zuordnungsformular auf den Link, um den Skript-Editor zu öffnen.
-
Alternativ können Sie im Abschnitt SIR-Incident-Feldzuordnung auf das Klammersymbol [{}] neben einem Feld klicken, um den Skript-Editor für dieses Feld zu öffnen.
In bestimmten Fällen kann eine Skripteinbindung für das Feld Configuration Item geeignet sein. Bei einem wichtigen Event stimmt beispielsweise ein Wert für das Konfigurationselement möglicherweise nicht überein.
Wie in der folgenden Abbildung dargestellt, können Sie, wenn in der Now Platform® CMDB für das Feld „Konfigurationselement“ keine Übereinstimmung mit einem Hostnamen gefunden wird, die Regel so bearbeiten, dass das Feld „Konfigurationselement“ ausgefüllt wird, wenn eine IP-Adresse gefunden wird. Wenn für den Alarm kein Wert vorhanden ist, wird das Feld im Security Incident auf null gesetzt.
Der Editor wird geöffnet, und das Feld wird in Zielfeld angezeigt. Die folgende Abbildung zeigt den Editor mit dem Feld Configuration Item als Zielfeld.