Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration de l’ingestion d’événements Splunk Enterprise Security
Outre les champs directement mappés à partir des valeurs d’événements notables ingérées et les valeurs que vous saisissez manuellement, utilisez l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage.
Avant de commencer
Rôle requis : sn_si.ingestion_profile_admin
Pourquoi et quand exécuter cette tâche
Dans certains cas, Splunk Enterprise Security les valeurs d’événements notables sont mappées aux champs Catégorie, Élément de configuration (CI) et Observable de l’incident SIR ne sont pas pris en charge. Vous préférez peut-être modifier les valeurs mappées. Si vous souhaitez convertir la valeur d’un Splunk Enterprise Security événement notable en une valeur prise en charge par ces champs sur l’incident SIR de sécurité, utilisez l’éditeur de script.
Procédure
-
Une fois le formulaire de mappage affiché, cliquez sur le lien pour ouvrir l’éditeur de script.
-
Sinon, dans la section Mappage de champ d’incident SIR, cliquez sur l’icône de crochet [{}] en regard d’un champ pour ouvrir l’éditeur de script correspondant à ce champ.
Dans certains cas, un include de script peut être approprié pour le champ Élément de configuration. Pour un événement notable, par exemple, une valeur de l’élément de configuration peut ne pas être mise en correspondance.
Comme le montre la figure suivante, si une correspondance pour un nom d’hôte ne peut être trouvée dans la ServiceNow AI Platform® CMDB pour le champ Élément de configuration, vous pouvez modifier la règle de sorte que si une adresse IP est trouvée, elle remplit le champ Élément de configuration. S’il n’y a pas de valeur pour l’alarme, le champ de l’incident de sécurité est défini sur null.
L’éditeur s’ouvre avec le champ affiché dans le champ Destination. L’image suivante montre l’éditeur avec le champ Configuration item (Élément de configuration ) comme champ de destination.