Selecione alertas programados para a integração Splunk Enterprise Event Ingestion

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Depois de criar um perfil para um alerta programado, selecione um alerta Splunk para este perfil que você deseja mapear para um incidente de segurança Now Platform Security Incident Response.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Exiba os alertas disponíveis em sua instância Now Platform para que você saiba quais valores de campo estão disponíveis para mapeamento. Selecione um alerta para verificar se você recebe os resultados esperados no layout de formulário básico antes de mapear os valores para campos em SIR incidentes de segurança. Você só pode selecionar um alerta da lista neste formulário.

    Procedimento

    1. Se a página Seleção de alerta não for exibida, selecione-a na barra de andamento para exibi-la.
      Por padrão, o aplicativo principal de pesquisa e emissão de relatórios está selecionado.
    2. Se o alerta a ser ingerido fizer parte de um app Splunk diferente, selecione Seleção de app Splunk e escolha seu app Splunk na lista App selecionada.
    3. Na Lista de alertas, escolha um alerta e mova-o para da coluna Disponível para a coluna Selecionado.
      Você também pode escolher vários alertas. Se os alertas forem selecionados como parte de um único perfil, eles terão mapeamentos de campo e configurações de perfil comuns.

      A lista de alertas neste formulário corresponde à lista de alertas no console do Splunk. Até 500 alertas são exibidos neste formulário. Se houver mais de 500 alertas listados no console do Splunk na página Alertas, somente os primeiros 500 alertas serão exibidos neste formulário na instância Now Platform.

      Opção Descrição
      No campo de pesquisa Lista de alertas, insira o texto. A coluna abaixo do campo de pesquisa é filtrada com as opções disponíveis com base no texto inserido. Selecione um alerta e, com as teclas de seta, mova o alarme selecionado de Disponível para Selecionado.
      Na Lista de Alertas, clique duas vezes em um Alerta. A coluna Selecionada é preenchida com sua seleção.
      Na Lista de alertas, clique uma vez em uma regra de alarme. O alarme está selecionado. Com as teclas de seta, mova o alerta selecionado de Disponível para Selecionado.
      Selecione um alerta para um perfil de evento programado.
    4. Escolha uma opção para continuar.
      OpçãoDescrição
      Continue ou, como alternativa, clique em Mapeamento na barra de andamento O formulário Mapeamento é exibido.

      Omapeamento é selecionado na barra de andamento. A próxima etapa é mapear campos de alerta para um SIR incidente de segurança.
      Atualizar Seus dados são salvos e a lista Perfis de eventos do Splunk é exibida.
      Anterior A etapa Nome é exibida.
      Excluir Exclua este perfil de evento e a lista Perfis de eventos do Splunk será exibida.

    O que Fazer Depois

    Você selecionou com sucesso um alerta para um perfil de alerta programado. A próxima etapa é mapear valores de alerta para campos em um incidente de segurança.