Splunk Enterprise Event Ingestion 統合でのセキュリティインシデントのプレビュー

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • マッピングステップを完了したら、Now Platform® セキュリティインシデントレスポンス (SIR) セキュリティインシデントでマッピングした値をプレビューします。このプレビューステップでは、セキュリティインシデントに表示するすべてのアラートフィールドがマッピングされていることを確認できます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    セキュリティインシデントをプレビューし、必要に応じてマッピングを再編集して、エラーのあるフィールドを修正するか、欠落しているデータを入力します。プレビューが正常に完了しない場合、スケジュール設定ステップに進むことはできません。SIR セキュリティインシデントのプレビューは、SIR 製品の実際のインシデントとして保存されません。

    手順

    1. セキュリティインシデントのプレビューが表示されない場合は、進捗状況バーの [プレビュー] をクリックします。
    2. [アラート名] を選択し、[サンプルアラート ID] リストでアイテムを選択します。
      展開した [アラートを選択] 選択リスト。

      セキュリティインシデントが表示されます。フィールドの情報は変更しないでください。このビューは読み取り専用であり、このセキュリティインシデントのレコードは保存されません。

    3. セキュリティインシデントのアラート値のフィールドマッピングを確認します。
      プレビューのセキュリティインシデントに関するエラーメッセージ。

      前の画像は、マッピングエラーのあるプレビューの例です。この例では、セキュリティインシデントのフィールドで値が存在しないか、マップした値がサポートされていません。[構成アイテム] フィールドの入力値が見つからなかったことを示すエラーメッセージが表示されます。

    4. このエラーを解決するには、進捗状況バーの [マッピング] をクリックします。
    5. マッピングを編集して誤った値を修正するか、欠落しているデータを入力します。
    6. マッピングを再度プレビューし、エラーメッセージに記載されているエラーの修正を続行します。

      次の図は、すべてのエラーメッセージが解決された後の SIR セキュリティインシデントの下半分にある [インシデントの詳細] タブの例です。この例では、 [説明] および [作業メモ] フィールドがマッピングされ、これらのフィールドには Splunk Enterprise コンソールからプルされた値のペアが入力されます。最初の [作業メモ] フィールドには値がありません。マッピングステップで、このフィールドはマッピンググリッドで空のままになっていました。値を含む追加の [作業メモ] フィールドが、マッピングステップ中にマッピンググリッドに追加されました。

      セキュリティインシデントプレビューの [作業メモ] および [説明] フィールド。
    7. エラーを修正し、フィールドが意図したとおりであることを確認したら、続行するオプションを 1 つ選択します。
      オプション説明
      続行 スケジュール済みアラートのあるプロファイルに対して [スケジュール] フォームが表示されます。

      進捗状況バーで [スケジュール] が選択されます。
      完了 手動イベント転送用に構成されたプロファイルの場合は、[完了] をクリックします。Splunk Enterprise コンソールから直接オンデマンドでエクスポートされるイベントデータを含むプロファイルには、スケジュールステップはありません。
      更新 データが保存され、[Splunk イベントプロファイル] リストに戻ります。
      前へ 進捗状況バーにマッピングステップが表示されます。
      削除 このイベントプロファイルを削除すると、[Splunk イベントプロファイル] リストが表示されます。

    次のタスク

    エラーメッセージが表示されず、セキュリティインシデントのフィールドマッピングに問題がない場合は、次のステップでは Splunk Enterprise Event Ingestion 統合でのアラートのスケジュールおよび取得 を行います。