Comandos de pesquisa manual
Os comandos de pesquisa manual são inseridos em qualquer janela de pesquisa. Você pode criar um incidente ou evento de segurança. Após o comando, há pares de nomes de campo e valores usados para criar o registro desejado.
Evento de segurança
O comando de evento de segurança, snsevent, cria um evento em ServiceNow com a classificação de Segurança.
Esses eventos podem ser revisados por conta própria, ou as regras de alerta em ServiceNow ou as ações manuais podem transformar um evento ou uma coleção de eventos em um incidente de segurança.
| Nome do parâmetro | Necessários | Usar | Uso no incidente de segurança |
|---|---|---|---|
| node | Sim | O nó representa o servidor ou o item de configuração do evento. O ideal é que este nó seja mapeado para um IC existente em ServiceNow. | Uso no incidente de segurança |
| tipo | Sim | A categoria do evento. | Descrição resumida |
| recurso | Sim | O item de configuração. | Descrição resumida |
| fonte | Não | A origem desses dados. Por padrão, o servidor Splunk gera os dados. | Log de atividades |
| external_url | Não | O URL de detalhamento a ser usado em ServiceNow para retornar aos dados do Splunk em relação a este evento. Por padrão, este URL contém o link do resultado de qualquer alerta ou um link para a página de pesquisa padrão do Splunk. | URL externo acessado por meio do botão Detalhamento no formulário de Incidente de segurança |
| time_of_event | Não | A hora em que o evento foi registrado no Splunk. | N/D |
| Todos os outros valores (categoria, subcategoria no exemplo) | Não | Qualquer campo que não faça parte do campo de informações no evento. Se um incidente de segurança for criado, ele será usado. | Se o campo existir e não estiver preenchido, o incidente de segurança usará esse valor. Por exemplo, a categoria passada pelo Evento se torna a categoria do novo incidente de segurança. Se um campo com este nome não existir, o valor será colocado no log de atividades. |
Incidente de segurança
O comando Incidente de segurança, snsecincident, cria um incidente de segurança na sua instância ServiceNow.
| Parâmetro | Necessários | Usar |
|---|---|---|
| short_description | Sim | Uma descrição resumida de uma linha do incidente. |
| categoria | Não | A categoria do incidente de segurança. Se esta categoria não existir, ela será criada. |
| subcategoria | Não | A subcategoria. Se esta subcategoria não existir, ela será criada. |
| cmdb_ci | Não | O item de configuração do incidente de segurança. O ideal é que este item seja mapeado para um IC existente em ServiceNow. |
| descrição | Não | A descrição mais longa e detalhada do incidente. |
Há muitas colunas úteis possíveis - qualquer coisa no mapa de transformação de Incidente de segurança pode ser usada. Se novas colunas forem adicionadas ao incidente de segurança, elas também serão usadas, desde que estejam no mapa de transformação. Algumas colunas úteis: location, prioridade, assign_group, assigned_to, afetado_usuário, ataque_vetor e watch_list.