Prévisualiser l’incident de sécurité pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Une fois l’étape de mappage terminée, affichez un aperçu des valeurs que vous avez mappées dans un Now Platform® Réponse aux incidents de sécurité incident de sécurité (SIR). Cette étape d’aperçu vous permet de vérifier que vous avez mappé tous les champs d’alerte que vous souhaitez afficher sur l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Prévisualisez un incident de sécurité et modifiez à nouveau le mappage selon les besoins pour corriger les champs comportant des erreurs ou pour renseigner les données manquantes. Si l’aperçu n’est pas terminé, vous ne pouvez pas passer à l’étape de planification. Les aperçus des incidents de SIR sécurité ne sont pas enregistrés en tant qu’incidents réels dans le SIR produit.

    Procédure

    1. Si l’aperçu de l’incident de sécurité n’est pas affiché, cliquez sur Aperçu dans la barre de progression.
    2. Sélectionnez le nom de l’alerte , puis sélectionnez un élément dans la liste Exemples d’ID d’alerte .
      Sélectionnez la liste de choix d’alertes développée.

      L’incident de sécurité s’affiche. Ne modifiez aucune information dans les champs. Cette vue est en lecture seule et un enregistrement de cet incident de sécurité n’est pas enregistré.

    3. Passez en revue le mappage de champs des valeurs d’alerte sur l’incident de sécurité.
      Message d’erreur concernant un incident de sécurité dans l’aperçu.

      L’image précédente est un exemple d’aperçu avec une erreur de mappage. Dans cet exemple, un champ sur l’incident de sécurité n’existe pas pour une valeur, ou le champ ne prend pas en charge la valeur que vous avez mappée. Un message d’erreur s’affiche qui indique qu’une valeur d’entrée est introuvable pour le champ Élément de configuration .

    4. Pour résoudre cette erreur, cliquez sur Mappage dans la barre de progression.
    5. Modifiez le mappage pour corriger les valeurs incorrectes ou renseigner les données manquantes.
    6. Prévisualisez à nouveau le mappage et continuez à corriger toutes les erreurs décrites dans les messages d’erreur.

      La figure suivante est un exemple de l’onglet Détails de l’incident dans la moitié inférieure d’un SIR incident de sécurité une fois que tous les messages d’erreur ont été résolus. Pour cet exemple, les champs Description et Notes de travail ont été mappés, et ces champs sont renseignés avec les valeurs des paires de valeurs extraites de la Splunk Enterprise console. Le premier champ Notes de travail n’a aucune valeur. Ce champ a été laissé vide dans la grille de mappage pendant l’étape de mappage. Les champs Note de travail supplémentaires qui ont des valeurs ont été ajoutés à la grille de mappage pendant l’étape de mappage.

      Champs Note de travail et Description dans l’aperçu de l’incident de sécurité.
    7. Après avoir corrigé toutes les erreurs et vérifié que les champs sont comme vous le souhaitez, choisissez une option pour continuer.
      OptionDescription
      Continuer Le formulaire de planification s’affiche pour les profils avec des alertes planifiées.

      La planification est sélectionnée sur la barre de progression.
      Terminer Pour les profils configurés pour le transfert manuel d’événements, cliquez sur Terminer. Il n’y a pas d’étape de planification pour les profils avec des données d’événement qui sont exportés à la demande directement à partir de la Splunk Enterprise console.
      Mettre à jour Vos données sont enregistrées et vous êtes redirigé vers la liste des profils d’événements Splunk .
      Précédent L’étape Mappage de la barre de progression s’affiche.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événements s’affiche Splunk .

    Que faire ensuite

    Si aucun message d’erreur ne s’affiche et que vous êtes satisfait du mappage de champs sur l’incident de sécurité, l’étape suivante consiste à Planifier et récupérer les alertes pour l’intégration Splunk Enterprise Event Ingestion.