Use o editor de script para formatar valores de alerta para a integração de ingestão de eventos Splunk Enterprise Security
Além dos campos mapeados diretamente dos valores de evento notáveis ingeridos e dos valores inseridos manualmente, use o editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento.
Antes de Iniciar
Função necessária: sn_si.admin
Por Que e Quando Desempenhar Esta Tarefa
Em determinados casos, os valores de evento notáveis Splunk Enterprise Security são mapeados para a Categoria, Item de configuração (IC) e os campos Observável no incidente SIR não são compatíveis. Você pode preferir editar os valores mapeados. Se você quiser traduzir o valor de um evento notável Splunk Enterprise Security para um valor que seja compatível com esses campos no incidente de segurança SIR, use o editor de script.
Procedimento
-
Com o formulário de mapeamento exibido, clique no link para abrir o editor de script.
-
Como alternativa, na seção Mapeamento de campo de incidente de SIR, clique no ícone de colchete [{}] ao lado de um campo para abrir o editor de script desse campo.
Em determinadas instâncias, uma inclusão de script pode ser apropriada para o campo Item de configuração. Para um evento notável, por exemplo, um valor para o Item de configuração pode não ser correspondido.
Conforme mostrado na figura a seguir, se uma correspondência para um nome de host não puder ser encontrada no Now Platform® CMDB para o campo Item de configuração, você poderá editar a regra para que, se um endereço IP for encontrado, ele preencha o campo Item de configuração. Se não houver valor para o alarme, o campo no incidente de segurança será definido como nulo.
O editor é aberto com o campo exibido no Campo de destino. A imagem a seguir mostra o editor com o campo Item de configuração como o Campo de destino.