Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage.

    Avant de commencer

    Outre les champs directement mappés à partir des valeurs d’alerte extraites et les valeurs d’alerte que vous saisissez manuellement, vous pouvez éventuellement utiliser l’éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. L’éditeur de script modifie les valeurs d’une Splunk alerte afin que les valeurs prises en charge par l’incident Now Platform® Réponse aux incidents de sécurité de sécurité soient mappées aux champs Catégorie, Élément de configuration (CI) et Observable.

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Dans certains cas, Splunk Enterprise les valeurs d’alerte sont mappées aux champs Catégorie, Élément de configuration (CI) et Observable de l’incident SIR et ne sont pas prises en charge. Vous préférez peut-être modifier les valeurs mappées. Si vous souhaitez convertir la valeur d’une Splunk Enterprise alerte en une valeur prise en charge par ces champs sur l’incident SIR de sécurité, utilisez l’éditeur de script.

    Procédure

    1. Une fois le formulaire de mappage affiché, cliquez sur le lien pour ouvrir l’éditeur de script.
      Cliquez ici pour voir l’éditeur de script mis en surbrillance.
    2. Dans la liste de choix, sélectionnez un champ de destination pour la valeur que vous souhaitez modifier.
    3. Dans la section Mappage de champs d’incidents SIR, vous pouvez également cliquer sur l’icône de crochet [{}] en regard d’un champ pour ouvrir l’éditeur de script relatif à ce champ.

      Dans certains cas, un include de script peut être approprié pour le champ Élément de configuration. Pour une alerte, par exemple, une valeur pour l’élément de configuration peut ne pas correspondre.

      Comme le montre la figure suivante, si une correspondance pour un nom d’hôte est introuvable dans le Now Platform® CMBD pour le champ Élément de configuration, vous pouvez modifier la règle de sorte que, si une adresse IP est trouvée, elle remplisse le champ Élément de configuration. S’il n’y a pas de valeur pour l’alarme, le champ de l’incident de sécurité est défini sur null.

      L’éditeur s’ouvre avec le champ affiché dans Champ de destination. L’image suivante montre l’éditeur avec le champ Élément de configuration comme champ de destination.
      Éditeur de script.
    4. Entrez toutes les modifications dans le script, puis cliquez sur Mettre à jour pour enregistrer vos modifications.
      La Splunk table Traductions de champ s’affiche.
    5. Fermez la table pour revenir au formulaire de mappage.