Créer un profil

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Vous pouvez configurer un profil pour les événements transférés manuellement.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Procédure

    Pour créer un profil qui prend en charge le transfert manuel d’événements, procédez comme suit.

    Pour les événements que vous transférez à la demande à partir de votre Splunk Enterprise Security console, vous pouvez baser le mappage de champ individuel sur n’importe quel profil existant. Vous pouvez également créer une nouvelle grille de mappage pour les données de pièce jointe exportées. Les événements que vous transférez manuellement ne sont pas planifiés dans le profil d’événement.

    1. Si ce n’est pas déjà fait, dans la liste de choix du champ Type, sélectionnez Transfert manuel d’événements.
    2. Dans le champ Option de mappage qui s’affiche, à partir de la liste de choix, choisissez une option de mappage pour continuer.
      Reportez-vous aux figures et tableaux suivants pour plus d’informations sur les options de mappage disponibles dans la liste de choix Options de mappage.
      Splunk : transfert manuel d’événements
      Tableau 1. Option Créer un mappage de champs
      Option ou champ Description
      Créer une option de mappage de champs Nouveau mappage de champs pour votre événement.

      Si vous n’avez pas de mappage de champs existant similaire au profil que vous créez, sélectionnez cette option pour créer une nouvelle carte.
      Profil par défaut

      Profil de transfert d’événements par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée).

      Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est utilisé lorsqu’il n’y a aucune correspondance sur la source de l’événement transféré manuellement. Il devient le profil par défaut pour tous les événements dont la source est inconnue.

      Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
      Source (champ Événement notable) Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché l’attaque notable, par exemple, les attaques par force brute.

      Ce champ n’est pas disponible si l’option de profil par défaut est activée.

      S’il est disponible, ce champ permet le mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction de la règle de corrélation Splunk qui est généralement différente pour différents types d’événements.

      Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événement de profil en fonction de la règle de corrélation pour satisfaire à cette exigence.
      Automatiser les mises à jour des événements notables Cochez cette case si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident SIR est créé à partir de l’événement notable et/ou lorsque l’incident SIR est fermé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident SIR ainsi que pour les événements agrégés.

      Source (Splunk Serveur)

      Serveur Splunk que vous avez configuré comme source des événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez saisir une valeur.
      Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut.

      Si vous avez créé un grand nombre de profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
      (Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils.

      Pour un profil avec un nouveau mappage de champs, vérifiez que vous avez saisi une valeur dans le champ Type de source et cliquez sur Continuer pour passer à l’étape de mappage de la configuration.

      Pour un profil avec un mappage de champs existant, reportez-vous à la figure et au tableau suivants pour plus d’informations.
      Manuel : profil existant
      Tableau 2. Sélectionner un profil existant pour l’option de mappage de champ
      Option ou champ Description
      Sélectionner un profil existant pour le mappage de champs Réutilisez un mappage de champ existant pour votre nouveau profil d’événement notable. Le champ Copier à partir du profil s’affiche.

      Suivez ces étapes pour copier un mappage de champs existant pour ce profil.

      1. À gauche du champ Copier à partir du profil qui s’affiche, cliquez sur l’icône de recherche.
      2. Dans la liste Profils d’événements Splunk ES qui s’affiche, cliquez sur le nom du profil qui contient la carte que vous souhaitez copier.

        Le nom du profil s’affiche dans le champ Copier à partir du profil.
      Profil par défaut

      Profil de transfert d’événements par défaut pour tous les Splunk événements notables avec une source sans correspondance. La valeur par défaut est effacée (désactivée).

      Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements.

      Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
      Source (champ Événement notable) Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché l’attaque notable, par exemple, les attaques par force brute.

      Ce champ n’est pas disponible si l’option de profil par défaut est activée.

      S’il est disponible, ce champ permet le mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction de la règle de corrélation Splunk qui est généralement différente pour différents types d’événements.

      Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événement de profil en fonction de la règle de corrélation pour satisfaire à cette exigence.
      Automatiser les événements notables Cochez cette case si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement notable ou lorsque l’incident de sécurité est fermé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité et pour les événements agrégés.

      Source (Splunk Serveur)

      Splunk Serveur ou extrémité de recherche que vous avez configuré comme source des événements notables. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez saisir une valeur.
      Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut.

      Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
      (Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils.

      En bas du formulaire de sélection d’un mappage existant pour votre profil, cliquez sur Terminer pour terminer la configuration du profil.