Selecione alertas programados para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Depois de criar um perfil para um alerta programado, selecione um alerta Splunk para este perfil que você deseja mapear para um incidente de segurança Now Platform Security Incident Response.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Exiba os alertas disponíveis na sua instância Now Platform para saber quais valores de campo estão disponíveis para mapeamento. Selecione um alerta para verificar se você recebe os resultados esperados no layout de formulário básico antes de mapear os valores para campos em SIR incidentes de segurança. Você só pode selecionar um alerta na lista deste formulário.

    Procedimento

    1. Se a página Seleção de alerta não for exibida, selecione-a na barra de andamento para exibi-la.
      Por padrão, o app principal de pesquisa e relatório é selecionado.
    2. Se o alerta a ser ingerido fizer parte de um app Splunk diferente, selecione Seleção de app Splunk e escolha seu app Splunk na lista de Apps selecionados.
    3. Na Lista de alertas, escolha um alerta e mova-o da coluna Disponível para a coluna Selecionado.
      Você também pode escolher vários alertas. Se os alertas forem selecionados como parte de um único perfil, os alertas terão mapeamentos de campo e configurações de perfil comuns.

      A lista de alertas neste formulário corresponde à lista de alertas no seu console Splunk. Até 500 alertas são exibidos neste formulário. Se houver mais de 500 alertas listados no console do Splunk na página Alertas, somente os primeiros 500 alertas serão exibidos neste formulário na sua instância Now Platform.

      Opção Descrição
      No campo de pesquisa Lista de alertas, insira o texto. A coluna abaixo do campo de pesquisa é filtrada com as opções disponíveis com base no texto inserido. Selecione um alerta e, com as teclas de seta, mova o alarme selecionado de Disponível para Selecionado.
      Na Lista de alertas, clique duas vezes em um Alerta. A coluna Selecionado é preenchida com sua seleção.
      Na Lista de alertas, clique uma vez em uma regra de alarme. O alarme está selecionado. Com as teclas de seta, mova o alerta selecionado de Disponível para Selecionado.
      Selecione um alerta para um perfil de evento programado.
    4. Escolha uma opção para continuar.
      OpçãoDescrição
      Continue ou, alternativamente, clique em Mapeamento na barra de andamento O formulário Mapeamento é exibido.

      Omapeamento é selecionado na barra de andamento. A próxima etapa é mapear campos de alerta para um incidente de segurança SIR.
      Atualizar Seus dados são salvos e a lista de Perfis de evento do Splunk é exibida.
      Anterior A etapa Nome é exibida.
      Deletar Exclua este perfil de evento e a lista de Perfis de evento do Splunk será exibida.

    O que Fazer Depois

    Você selecionou com sucesso um alerta para um perfil de alerta programado. A próxima etapa é mapear valores de alerta para campos em um incidente de segurança.