Comandos de pesquisa manual
Os comandos de pesquisa manual são inseridos em qualquer janela de pesquisa. Você pode criar um incidente ou evento de segurança. Após o comando, há pares de nomes de campo e valores usados para criar o registro desejado.
Evento de segurança
O comando de evento de segurança, snsecevent, cria um evento em ServiceNow com a classificação de segurança.
Esses eventos podem ser revisados por conta própria ou as regras de alerta em ServiceNow ou ações manuais podem transformar um evento ou coleção de eventos em um incidente de segurança.
| Nome do Parâmetro | Obrigatório | Uso | Usar no incidente de segurança |
|---|---|---|---|
| node | Sim | O nó representa o servidor ou o item de configuração do evento. O ideal é que este nó seja mapeado para um IC existente em ServiceNow. | Usar no incidente de segurança |
| tipo | Sim | A categoria do evento. | Descrição resumida |
| recurso | Sim | O item de configuração. | Descrição resumida |
| origem | Não | A origem desses dados. Por padrão, o servidor Splunk gera os dados. | Log de atividades |
| external_url | Não | O URL de detalhamento a ser usado em ServiceNow para retornar aos dados do Splunk sobre este evento. Por padrão, este URL contém o link de resultado de qualquer alerta ou um link para a página de pesquisa padrão do Splunk. | URL externo acessado por meio do botão Detalhamento no formulário de Incidente de segurança |
| time_of_event | Não | A hora em que o evento foi registrado no Splunk. | N/D |
| Todos os outros valores (categoria, subcategoria no exemplo) | Não | Qualquer campo que não faça parte do campo de informações no evento. Se um incidente de segurança for criado, ele será usado. | Se o campo existir e não estiver preenchido, o incidente de segurança usará esse valor. Por exemplo, a categoria aprovada pelo Evento se torna a categoria do novo incidente de segurança. Se não existir um campo com este nome, o valor será colocado no log de atividades. |
Incidente de segurança
O comando Incidente de segurança, snsecincident, cria um incidente de segurança em sua instância ServiceNow.
| Parâmetro | Obrigatório | Uso |
|---|---|---|
| short_description | Sim | Uma descrição resumida de uma linha do incidente. |
| categoria | Não | A categoria do incidente de segurança. Se esta categoria não existir, ela será criada. |
| subcategoria | Não | A subcategoria. Se esta subcategoria não existir, ela será criada. |
| cmdb_ci | Não | O item de configuração do incidente de segurança. O ideal é que este item seja mapeado para um IC existente em ServiceNow. |
| descrição | Não | A descrição mais longa e detalhada do incidente. |
Existem muitas colunas úteis possíveis - qualquer coisa no mapa de transformação de Incidente de segurança pode ser usada. Se novas colunas forem adicionadas ao incidente de segurança, elas também serão usadas, desde que estejam no mapa de transformação. Algumas colunas úteis: local, prioridade, assign_group, assigned_to, afetado_user, ataque_vetor e watch_list.