Mapper les champs d’incident

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 6 minutes de lecture

    • Mappez Microsoft Defender les champs d’incident et d’événement aux champs cibles d’incident SIR.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.ingestion_profile_admin

    Procédure

    1. Si vous ne continuez pas à partir de la section précédente des critères de nom, accédez au profil que vous définissez.
      1. Accédez à la Tous > Intégration de Microsoft Defender > Profils d'incidents Defender.
      2. Sélectionnez le profil que vous continuez à définir.
      3. Sélectionnez Mappage dans la barre de progression.
    2. Sélectionnez l’une des méthodes d’intégration d’exemples dans la section Mappage du champ d’incident Defender.
      Tableau 1. Méthode d'intégration des exemples
      Champ Description
      Tous les fichiers d’incidents et de preuves par défaut Utilisez cette méthode d’ingestion pour afficher la liste statique de tous les champs d’incident et d’événement. Cette méthode contient uniquement des noms de champs par défaut sans valeur.
      Récupérer les incidents Defender récents Utilisez cette méthode d’ingestion pour importer les incidents Defender les plus récents.

      Si l’incident Defender contient plusieurs alertes, la première alerte faisant partie de l’incident est affichée dans la section de mappage. Lors de l’ingestion, les premières valeurs de champ d’alerte de sécurité seront également utilisées.

      Vous pouvez ingérer 5 exemples d’incidents.

      Les exemples de valeurs de champ sont renseignés lorsque le profil ingère les exemples d’incidents. Vous pouvez mapper ces incidents aux champs cibles des incidents SIR. Les champs et les valeurs d’incident s’affichent sous forme d’onglets individuels.
      Récupérer les incidents Defender en fonction de l’ID ID d'incidents (séparés par des virgules) Spécifiez les ID d’incidents séparés par des virgules.

      Vous pouvez ingérer 5 ID d’incidents.
    3. Pour ajouter des champs aux champs par défaut qui sont affichés sur l’incident de sécurité, procédez comme suit :
      1. Sélectionnez le bouton Mapper un autre champ. dans la section Champs cibles des incidents SIR.
        Il affiche une liste de champs SIR, à partir desquels vous pouvez sélectionner un nouveau champ.
      2. Dans la colonne Incident de sécurité, développez la liste affichée, puis sélectionnez un champ.
        Remarque :
        Plusieurs observables peuvent être affichés sur le même incident de sécurité. Par exemple, le champ Observable peut être mappé plusieurs fois avec différentes valeurs. De même, les champs Configuration Item (Élément de configuration ) et Work notes (Notes de travail ) prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, un message d’erreur s’affiche indiquant que ce champ ne prend pas en charge plusieurs valeurs. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper à ce champ une option qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Dans la section Champs d’incident, faites glisser votre champ pour le mapper à votre nouveau champ.
      4. Lorsque vous cochez la case qui correspond à un champ, tous les changements nouveaux ou mis à jour apportés dans Defender mettent automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Remarque :
        Dans le système de base, la propriété système sn_sec_def_sntl.incident_updates est définie par défaut sur Vrai pour recevoir les mises à jour de Defender liées aux nouveaux incidents liés à SIR.
        • Par défaut, les champs Utilisateurs affectés, Éléments de configuration et Observables sont cochés. Cela signifie que chaque fois que de nouveaux observables ou éléments de configuration associés, ou des utilisateurs affectés sont ajoutés à l’incident, ces informations sont automatiquement extraites et renseignées dans les listes connexes respectives de Réponse aux incidents de sécurité (SIR) pendant cet intervalle d’interrogation.
        • Pour tous les autres champs, vous devez cocher la case qui correspond à un champ pour tous les changements nouveaux ou mis à jour apportés à l’enregistrement d’incident Defender dans Defender. Cela remplacera automatiquement les données d’incident SIR respectives par les nouvelles données d’incident.
        Important :
        Une vérification raisonnable est requise avant de sélectionner cette fonctionnalité, car le remplacement des données existantes peut entraîner des données instables pour l’analyste et toute autre automatisation définie même par les valeurs de champ de l’incident de sécurité peut également être affectée. Il est donc important de faire preuve de diligence raisonnable avant de sélectionner une fonctionnalité de remplacement.
    4. Pour supprimer un champ, utilisez le bouton Supprimer Supprimer l’élément en regard du champ d’expression d’entrée dans la section Champs cibles des incidents SIR.
    5. Pour mapper une valeur de champ de la section Champs d’incident et d’événement à un champ de la section Champs cibles d’incident SIR, utilisez l’une des actions suivantes :
      1. Faites glisser le nom du champ Incident (par exemple, ID) et déposez-le à côté d’un nom de champ dans la colonne Champs cibles de l’incident SIR.

        Vous pouvez faire correspondre n’importe quelle valeur de la section des champs Incident et Événement à un champ de la section Champs cibles de l’incident SIR. Les champs sont codés par couleur afin que vous n’oubliiez pas ou ne dupliquiez pas de champs d’incident lors du processus de mappage. Les champs bleu clair indiquent qu’aucun champ d’incident n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer des champs d’incident entrant à plusieurs champs sur un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. De cette façon, vous pouvez visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations importantes restantes sur l’incident restent non mappées.

      2. Vous pouvez ajouter une combinaison de texte et de champ.
        Par exemple, le nom de l’incident est ${Incidents : name}$. Ici, le nom de l’incident peut être saisi manuellement tandis que ${Incidents : ${name}$ est mappé à partir de la section Champs d’incident et d’événement.
      3. Vous pouvez saisir manuellement et mapper un champ Incident ou Événement source à un champ cible.
        • Pour mapper manuellement un champ d’incident source, utilisez le format ${nom de champ}$. Par exemple, pour mapper la gravité d’un champ d’incident, le format est ${incidentWebUrl}$.
        • Pour ajouter manuellement des champs d’incident et d’événement, utilisez le format ${evidenceName : evidenceField}$. Par exemple, ${Alert : category}$, ${deviceEvidence : healthStatus}$.
      Cette intégration classe certains sous-types d’observables. Lorsque vous mappez un champ Defender avec le champ observable SIR, l’observable est classé automatiquement. Si vous souhaitez mapper de manière générique l’observable Defender entrant au type d’observable, faites glisser le champ Incident et Événement dans le champ Observable. Toutefois, si vous connaissez le type d’observable pour l’observable Defender entrant, mappez-le spécifiquement au champ Type d’observable. Parmi les exemples de types d’observables spécifiques, citons Observable (nom de domaine), Observable (adresse e-mail), Observable (adresse IP (V4)) et Observable (nom d’hôte).

      Parfois, les valeurs de champ d’incident dans Defender peuvent ne pas se traduire directement dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.

    6. Pour formater une traduction de champ pour un nouveau champ à partir d’un incident Defender afin qu’il corresponde à une valeur de champ sur un incident de sécurité, sélectionnez le lien Cliquez ici dans l’en-tête des champs cibles de l’incident SIR .
    7. Pour modifier les champs qui prennent en charge la traduction de champ, sélectionnez l’icône Traduction de champ de bouton de format de champ.
      Les champs qui prennent en charge la traduction des champs sont Utilisateur affecté, Élément de configuration et Priorité. Par exemple, sélectionnez l’icône du bouton Format de champ en regard de la catégorie. L’éditeur de script de traduction de champ Defender s’ouvre.
    8. Entrez les changements apportés au script et sélectionnez Mettre à jour pour enregistrer les changements et revenir à la page de mappage.
      Par exemple, pour Catégorie, définissez les éléments suivants dans l’éditeur de script :
      "<Incoming Defender Field Value>":"<Category to assign to the Security Incident>".
      Ce mappage confirme qu’un profil utilise uniquement les catégories configurées.
    9. Poursuivez le mappage en ajoutant ou en supprimant des valeurs de champ.
      Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incidents pour définir des critères supplémentaires qu’un incident entrant doit satisfaire pour créer un incident de sécurité.

      Mapper les champs d’incident

    10. Sélectionnez Continuer.

    Que faire ensuite

    Définir des critères de filtre et d’agrégation