ArcSight ESM イベントの取り込み統合のセキュリティインシデントをプレビューする
マッピングステップを完了したら、Now Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントでマッピングした値をプレビューします。このプレビューステップでは、セキュリティインシデントに表示するすべての相関フィールドがマッピングされていることを確認できます。
始める前に
必要なロール:sn_si.admin
このタスクについて
sn_si.admin ロールを持つユーザーは、セキュリティインシデントをプレビューし、必要に応じてマッピングを再編集して、エラーのあるフィールドを修正するか、欠落しているデータを入力します。プレビューが正常に完了しない場合、スケジュール設定ステップに進むことはできません。セキュリティインシデントのプレビューは、セキュリティインシデントレスポンス 製品の実際のインシデントとして保存されません。
手順
-
セキュリティインシデントの相関イベント値のフィールドマッピングを確認します。
前の画像は、マッピングエラーのあるプレビューの例です。この例では、相関イベントのフィールド値に、SIR インシデントフォームの参照フィールドの許容値がありません。特定の値セットを持つ参照フィールドである [カテゴリ] フィールドの入力値が見つからなかったことを示すエラーメッセージが表示されます。その結果、このマップされたフィールド値は、さらに変更しないと SIR セキュリティインシデントフォームに表示されません。
-
マッピングを再度プレビューし、エラーメッセージに記載されているエラーの修正を続行します。
次の図は、すべてのエラーメッセージが解決された後のセキュリティインシデントの下半分にある [インシデントの詳細] タブの例です。この例では、 [説明] および [作業メモ] フィールドがマッピングされ、これらのフィールドには ArcSight ESM 相関イベントサンプルからプルされた値のペアの値が入力されます。
次のタスク
エラーメッセージが表示されず、セキュリティインシデントのフィールドマッピングに問題がない場合は、次のステップでスケジュールを定義します。