Splunk Enterprise Event Ingestion 統合のセキュリティインシデントのプレビュー
マッピングステップを完了したら、ServiceNow AI Platform® セキュリティインシデントレスポンス (SIR) セキュリティインシデントでマッピングした値をプレビューします。このプレビューステップでは、セキュリティインシデントに表示するすべてのアラートフィールドがマッピングされていることを確認できます。
始める前に
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
セキュリティインシデントをプレビューし、必要に応じてマッピングを再編集して、エラーのあるフィールドを修正するか、欠落しているデータを入力します。プレビューが正常に完了しない場合、スケジュール設定ステップに進むことはできません。SIR セキュリティインシデントのプレビューは、SIR 製品の実際のインシデントとして保存されません。
手順
-
[アラート名] を選択し、[サンプルアラート ID] リストでアイテムを選択します。
セキュリティインシデントが表示されます。フィールドの情報は変更しないでください。このビューは読み取り専用であり、このセキュリティインシデントのレコードは保存されません。
-
セキュリティインシデントのアラート値のフィールドマッピングを確認します。
前の画像は、マッピングエラーのあるプレビューの例です。この例では、セキュリティインシデントのフィールドで値が存在しないか、マップした値がサポートされていません。
-
マッピングを再度プレビューし、エラーメッセージに記載されているエラーの修正を続行します。
次の図は、すべてのエラーメッセージが解決された後の SIR セキュリティインシデントの下半分にある [インシデントの詳細] タブの例です。この例では、 [説明] および [作業メモ] フィールドがマッピングされ、これらのフィールドには Splunk Enterprise コンソールからプルされた値のペアが入力されます。最初の [作業メモ] フィールドには値がありません。マッピングステップで、このフィールドはマッピンググリッドで空のままになっていました。値を含む追加の [作業メモ] フィールドが、マッピングステップ中にマッピンググリッドに追加されました。
注:一致する CMDB レコードまたは ID レコードが見つからない場合、[プロファイルプレビュー] セクションに [ 一致しない影響を受けるユーザー] および [ 一致しない構成アイテム] の関連アイテムが表示されます。取り込み後、セキュリティインシデントレコードの [構成アイテム] 関連リストに [一致しない CI] が、[一致しない影響を受けるユーザー] が専用の関連リストに表示されるため、インシデントのライフサイクル全体を通じて影響を受けるエンティティが完全に可視化されます。
次のタスク
エラーメッセージが表示されず、セキュリティインシデントのフィールドマッピングに問題がない場合は、次のステップでは Splunk Enterprise Event Ingestion 統合でのアラートのスケジュールおよび取得 を行います。