Criação automática de incidente de segurança
Ferramentas de monitoramento de terceiros, como o Splunk, podem ser integradas ao Security Incident Response para que os eventos de segurança importados dessas ferramentas gerem automaticamente incidentes de segurança. Você também pode importar dados de ferramentas de terceiros para alertas de segurança.
Para integrar ferramentas de monitoramento de alertas a Security Incident Response, você deve usar a REST API para gravar na tabela de importação de incidente de segurança [sn_si_incident_import]. Em seguida, usando os mapas de transformaçãoTransformação de incidente de segurança, a tabela de origem do conjunto de importação é mapeada para campos na tabela de Incidente de segurança [sn_si.incident] de destino.
Se você tentar importar registros de IC que não sejam reconhecidos pelo mapa de transformação, o script do mapa de transformação verificará o registro para o seguinte (nesta ordem) em uma tentativa de fazer uma correspondência:
- sys_id
- Nome do IC
- nome de domínio totalmente qualificado
- Endereço IP
Nota:
Se você achar que o mapa de transformação Transformação de incidente de segurança não é adequado para a ferramenta de monitoramento de alertas de terceiros que você está usando, duplique o mapa de transformação, crie um novo e edite os campos, conforme necessário.