Wählen Sie geplante Warnungen für die Integration Splunk Enterprise Event Ingestion aus

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie ein Profil für eine geplante Warnung erstellt haben, wählen Sie für dieses Profil eine Splunk -Warnung aus, die Sie einem Now Platform Security Incident Response -Security Incident zuordnen möchten.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die verfügbaren Warnungen in Ihrer Instanz Now Platform an, damit Sie wissen, welche Feldwerte für die Zuordnung verfügbar sind. Wählen Sie eine Warnung aus, um zu überprüfen, ob Sie im grundlegenden Formularlayout die erwarteten Ergebnisse erhalten, bevor Sie die Werte Feldern in Security Incidents SIR zuordnen. Sie können in diesem Formular nur eine Warnung aus der Liste auswählen.

    Prozedur

    1. Wenn die Seite „Warnungsauswahl“ nicht angezeigt wird, wählen Sie sie in der Fortschrittsleiste aus, um sie anzuzeigen.
      Standardmäßig ist die Core-Such- und Berichterstellungs-App ausgewählt.
    2. Wenn die zu erfassende Warnung Teil einer anderen App Splunk ist, wählen Sie Splunk-App-Auswahl, und wählen Sie Ihre Splunk -App aus der Liste Ausgewählte App aus.
    3. Wählen Sie in der Warnungslisteeine Warnung aus, und verschieben Sie sie aus der Spalte Verfügbar in die Spalte Ausgewählt.
      Sie können auch mehrere Warnungen auswählen. Wenn die Warnungen als Teil eines einzelnen Profils ausgewählt werden, weisen die Warnungen allgemeine Feldzuordnungen und Profileinstellungen auf.

      Die Liste der Warnungen in diesem Formular entspricht der Liste der Warnungen in Ihrer Splunk -Konsole. In diesem Formular werden bis zu 500 Warnungen angezeigt. Wenn in Ihrer Splunk-Konsole auf der Seite „Warnungen“ mehr als 500 Warnungen aufgeführt sind, werden in diesem Formular in Ihrer Instanz Now Platform nur die ersten 500 Warnungen angezeigt.

      Option Beschreibung
      Geben Sie im Suchfeld Warnungsliste Text ein. Die Spalte unter dem Suchfeld wird anhand der verfügbaren Optionen basierend auf dem von Ihnen eingegebenen Text gefiltert. Wählen Sie eine Warnung aus und verschieben Sie sie mit den Pfeiltasten von Verfügbar in Ausgewählt.
      Doppelklicken Sie in der Warnungsliste auf eine Warnung. Die Spalte Ausgewählt wird mit Ihrer Auswahl gefüllt.
      Klicken Sie in der Warnungsliste einmal auf eine Alarmregel. Der Alarm ist ausgewählt. Verschieben Sie die ausgewählte Warnung mit den Pfeiltasten von Verfügbar in Ausgewählt.
      Wählen Sie eine Warnung für ein geplantes Ereignisprofil aus.
    4. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fahren Sie fort, oder klicken Sie alternativ in der Fortschrittsleiste auf Zuordnung Das Zuordnungsformular wird angezeigt.

      Zuordnung ist auf dem Fortschrittsbalken ausgewählt. Der nächste Schritt besteht im Zuordnen von Warnungsfeldern zu einem SIR -Security Incident.
      Aktualisieren Die Daten werden gespeichert, und die Liste „Splunk-Ereignisprofile“ wird angezeigt.
      Zurück Der Schritt Name wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste der Splunk-Ereignisprofile wird angezeigt.

    Nächste Maßnahme

    Sie haben erfolgreich eine Warnung für ein geplantes Warnungsprofil ausgewählt. Der nächste Schritt besteht darin, Feldern in einem Security Incident Warnungswerte zuzuordnen.