Zeigen Sie eine Vorschau des Security Incident für die Splunk Enterprise Event Ingestion -Integration an

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie den Zuordnungsschritt abgeschlossen haben, zeigen Sie eine Vorschau der Werte an, die Sie in einem Now Platform® Security Incident Response (SIR)-Security Incident zugeordnet haben. Mit diesem Vorschauschritt können Sie überprüfen, ob Sie alle Warnungsfelder zugeordnet haben, die im Security Incident angezeigt werden sollen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zeigen Sie eine Vorschau eines Security Incident an, und bearbeiten Sie die Zuordnung bei Bedarf erneut, um Felder mit Fehlern zu korrigieren oder fehlende Daten auszufüllen. Wenn die Vorschau nicht erfolgreich abgeschlossen wurde, können Sie nicht mit dem Planungsschritt fortfahren. Vorschauen von SIR Security Incidents werden nicht als tatsächliche Incidents im Produkt SIR gespeichert.

    Prozedur

    1. Wenn die Security Incident-Vorschau nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Vorschau.
    2. Wählen Sie den Warnungsnamen aus, und wählen Sie dann ein Element aus der Liste Beispielwarnungs-IDs aus.
      Warnungsauswahlliste erweitert.

      Der Security Incident wird angezeigt. Ändern Sie keine Informationen in den Feldern. Diese Ansicht ist schreibgeschützt, und ein Datensatz dieses Security Incident wird nicht gespeichert.

    3. Überprüfen Sie die Feldzuordnung der Warnungswerte für den Security Incident.
      Fehlermeldung zu einem Security Incident in der Vorschau.

      Die vorherige Abbildung zeigt eine Vorschau mit einem Zuordnungsfehler. In diesem Beispiel ist ein Feld im Security Incident für einen Wert nicht vorhanden, oder das Feld unterstützt den von Ihnen zugeordneten Wert nicht. Eine Fehlermeldung wird angezeigt, die angibt, dass für das Feld Konfigurationselement kein Eingabewert gefunden wurde.

    4. Um diesen Fehler zu beheben, klicken Sie in der Fortschrittsleiste auf Zuordnung.
    5. Bearbeiten Sie die Zuordnung, um falsche Werte zu korrigieren oder fehlende Daten auszufüllen.
    6. Zeigen Sie eine erneute Vorschau der Zuordnung an, und fahren Sie mit der Behebung von Fehlern fort, die in Fehlermeldungen beschrieben werden.

      Die folgende Abbildung zeigt ein Beispiel für die Registerkarte „Incident-Details“ in der unteren Hälfte eines SIR Security Incident, nachdem alle Fehlermeldungen gelöst wurden. In diesem Beispiel wurden die Felder Beschreibung und Arbeitsnotizen zugeordnet, und diese Felder werden mit den Werten aus den Wertepaaren ausgefüllt, die aus der Konsole Splunk Enterprise abgerufen wurden. Das erste Feld „Arbeitsnotizen“ hat keinen Wert. Dieses Feld wurde während des Zuordnungsschritts im Zuordnungsraster leer gelassen. Die zusätzlichen Arbeitsnotizfelder mit Werten wurden dem Zuordnungsraster während des Zuordnungsschritts hinzugefügt.

      Felder „Arbeitsnotiz“ und „Beschreibung“ in der Security Incident-Vorschau.
    7. Nachdem Sie alle Fehler behoben und überprüft haben, ob die Felder Ihren Vorstellungen entsprechen, wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Fortsetzen Das Formular „Zeitplanung“ wird für Profile mit geplanten Warnungen angezeigt.

      Zeitplanung wird auf der Fortschrittsleiste ausgewählt.
      Fertigstellen Klicken Sie für Profile, die für die manuelle Event-Weiterleitung konfiguriert sind, auf Fertig stellen. Es gibt keinen Planungsschritt für Profile mit Event-Daten, die bei Bedarf direkt aus der Splunk Enterprise -Konsole exportiert werden.
      Aktualisieren Ihre Daten werden gespeichert, und Sie kehren zur Liste Splunk Ereignisprofile zurück.
      Zurück Der Zuordnungsschritt wird in der Fortschrittsleiste angezeigt.
      Löschen Löschen Sie dieses Event-Profil, und die Liste Splunk Event-Profile wird angezeigt.

    Nächste Maßnahme

    Wenn keine Fehlermeldungen angezeigt werden und Sie mit der Feldzuordnung für den Security Incident zufrieden sind, führen Sie den nächsten Schritt zu Planen und rufen Sie Warnungen für die Splunk Enterprise Event Ingestion -Integration ab.