Zeigen Sie eine Vorschau des Security Incident für die -Integration Splunk Enterprise Event Ingestion an

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie im Security Incident Now Platform® Security Incident Response (SIR) zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle Warnungsfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie die Vorschau eines Security Incidents an, und bearbeiten Sie die Zuordnung bei Bedarf erneut, um Felder mit Fehlern zu korrigieren oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wird, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen auf Security Incidents SIR werden nicht als tatsächliche Incidents im Produkt SIR gespeichert.

    Prozedur

    1. Wenn die Vorschau des Security Incidents nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
    2. Wählen Sie den Warnungsnamen und dann ein Element in der Liste Beispielwarnungs-IDs aus.
      Auswahlliste für Warnungsauswahl erweitert.

      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incidents wird nicht gespeichert.

    3. Überprüfen Sie die Feldzuordnung der Warnungswerte für den Security Incident.
      Fehlermeldung zu einem Security Incident in der Vorschau.

      Das vorherige Bild ist ein Beispiel für eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel ist ein Feld im Security Incident für einen Wert nicht vorhanden, oder das Feld unterstützt den von Ihnen zugeordneten Wert nicht. Es wird eine Fehlermeldung angezeigt, die darauf hinweist, dass für das Feld Konfigurationselement kein Eingabewert gefunden wurde.

    4. Um diesen Fehler zu beheben, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    5. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    6. Zeigen Sie erneut eine Vorschau der Zuordnung an, und fahren Sie mit der Behebung von Fehlern fort, die in den -Fehlermeldungen beschrieben werden.

      Die folgende Abbildung zeigt ein Beispiel für die Registerkarte Incident-Details in der unteren Hälfte eines SIR -Security Incidents, nachdem alle Fehlermeldungen gelöst wurden. Für dieses Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren gefüllt, die aus der Konsole Splunk Enterprise abgerufen wurden. Das erste Feld „Arbeitsnotizen“ enthält keinen Wert. Dieses Feld wurde im Zuordnungsraster während des Zuordnungsschritts leer gelassen. Die zusätzlichen Arbeitsnotizfelder, die Werte enthalten, die dem Zuordnungsraster während des Zuordnungsschritts hinzugefügt wurden.

      Arbeitsnotiz und Beschreibung in der Vorschau des Security Incidents.
    7. Nachdem Sie alle Fehler behoben und verifiziert haben, dass die Felder Ihren Vorstellungen entsprechen, wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zeitplanung“ wird für Profile mit geplanten Warnungen angezeigt.

      Auf dem Fortschrittsbalken ist„Zeitplanung“ ausgewählt.
      Fertigstellen Klicken Sie bei Profilen, die für die manuelle Ereignisweiterleitung konfiguriert sind, auf Fertigstellen. Es gibt keinen Zeitplanungsschritt für Profile mit Ereignisdaten, die bei Bedarf direkt aus der Konsole Splunk Enterprise exportiert werden.
      Aktualisieren Ihre Daten werden gespeichert, und Sie kehren zur Liste Splunk Ereignisprofile zurück.
      Zurück Der Zuordnungsschritt auf dem Fortschrittsbalken wird angezeigt.
      Löschen Löschen Sie dieses Ereignisprofil, und die Liste Splunk Ereignisprofile wird angezeigt.

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung im Security Incident zufrieden sind, fahren Sie als Nächstes mit Planen Sie Warnungen für die Integration Splunk Enterprise Event Ingestion, und rufen Sie sie abfort.