Splunk Enterprise Event Ingestion 統合でのスケジュール済みアラートの選択

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:2分

    • スケジュール済みアラートのプロファイルを作成したら、Now Platform セキュリティインシデントレスポンス セキュリティインシデントにマップするこのプロファイルの Splunk アラートを選択します。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    Now Platform インスタンスで利用可能なアラートを表示して、マッピングに利用可能なフィールド値を確認します。SIR セキュリティインシデントのフィールドに値をマップする前に、アラートを選択して、基本フォームレイアウトで期待する結果が得られることを確認します。このフォームのリストから選択できるアラートは 1 つだけです。

    手順

    1. [アラートの選択] ページが表示されない場合は、進捗状況バーで選択して表示します。
      デフォルトでは、Search & Reporting コアアプリが選択されています。
    2. 取り込むアラートが別の Splunk アプリの一部である場合は、[Splunk アプリの選択] を選択し、[選択したアプリ] リストから Splunk アプリを選択します。
    3. [アラートリスト] からアラートを選択し、[利用可能] 列から [選択済み] 列に移動します。
      複数のアラートを選択することもできます。アラートが単一のプロファイルの一部として選択されている場合、アラートには共通のフィールドマッピングとプロファイル設定が含まれます。

      このフォームのアラートのリストは、Splunk コンソールのアラートのリストと一致します。このフォームには最大 500 件のアラートが表示されます。[アラート] ページの Splunk コンソールに 500 件を超えるアラートがリストされている場合、Now Platform インスタンスのこのフォームには最初の 500 件のアラートのみが表示されます。

      オプション 説明
      [アラートリスト] 検索フィールドにテキストを入力します。 検索フィールドの下の列は、入力したテキストに基づいて利用可能なオプションでフィルタリングされます。アラートを選択し、矢印キーを使用して、選択したアラームを [利用可能] から [選択済み] に移動します。
      [アラート] リストで、アラートをダブルクリックします。 [選択済み] 列に選択内容が入力されます。
      [アラートリスト] で、アラームルールをシングルクリックします。 アラームが選択されます。矢印キーを使用して、選択したアラームを [利用可能] から [選択済み] に移動します。
      スケジュール済みイベントプロファイルのアラートを選択します。
    4. オプションを 1 つ選択して続行します。
      オプション説明
      続行するか、進捗状況バーの [マッピング] をクリックします。 [マッピング] フォームが表示されます。

      進捗状況バーで [マッピング] が選択されます。次のステップでは、アラートフィールドを SIR セキュリティインシデントにマップします。
      更新 データは保存され、[Splunk イベントプロファイル] リストが表示されます。
      前へ [名前] ステップが表示されます。
      削除 このイベントプロファイルを削除すると、[Splunk イベントプロファイル] リストが表示されます。

    次のタスク

    スケジュール済みアラートプロファイルのアラートが正常に選択されました。次のステップでは、アラート値をセキュリティインシデントのフィールドにマップします。