Incidents de sécurité créés à partir d’événements et d’alertes

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Au fur et à mesure que des événements sont importés à partir d’outils de surveillance des alertes, ils sont d’abord traités Gestion des événements et regroupés en alertes. Ces alertes peuvent être utilisées pour créer des incidents de sécurité basés sur des règles d’alerte personnalisables, ou examinées manuellement pour sélectionner ces alertes à examiner en tant qu’incident de sécurité.

    Vous pouvez trouver un exemple de règle d’alerte appelée Créer des incidents de sécurité à partir d’alertes critiques dans le Règles d'alerte module de l’application Gestion des événements . Cette règle d’alerte crée automatiquement des incidents de sécurité lorsque des événements critiques liés à la sécurité sont reçus depuis ServiceNow des applications de surveillance tierces. Une fois l’incident de sécurité créé, il est mis à jour au fur et à mesure que de nouveaux événements sont reçus. Vous pouvez modifier le modèle de tâche dans la règle d’alerte pour changer les valeurs initiales de l’incident de sécurité créé par cette règle d’alerte. Pour gérer chaque type d’incident de sécurité que vous souhaitez créer, vous pouvez définir d’autres règles d’alerte avec des conditions différentes.

    Si vous êtes un utilisateur disposant du rôle d’administrateur de sécurité, vous pouvez également créer manuellement un incident de sécurité en cliquant sur le bouton Créer un incident de sécurité à partir d’une alerte suspecte.

    Il est important que les événements reçus d’outils externes comprennent les informations suivantes :
    • Nœud défini sur le nom, l’adresse IP ou le sys_id du CI qui devient la ressource affectée.
    • La classification des événements est définie sur Sécurité pour les distinguer des autres événements informatiques.
    • Description de l’événement, qui renseigne la description de l’incident de sécurité.
    • Les informations supplémentaires peuvent inclure toute information supplémentaire qui ne rentre pas dans les champs énumérés précédemment ou dans d’autres champs d’événement, telles que la catégorie, les vecteurs d’attaque, l’URL de retour ou l’ID de corrélation. Le format est une chaîne qui répertorie les noms de champs ainsi que leurs valeurs, à l’aide du format JSON suivant :
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Remarque :
    Pour chaque paire champ/valeur, si le champ de l’incident de sécurité où le nom de colonne correspond au fieldName est vide, il est défini sur fieldValue. Si le champ de l’incident de sécurité n’est pas vide, il n’est pas modifié. Dans les deux cas, l’événement ainsi que tous les champs et valeurs codés dans les informations supplémentaires sont enregistrés dans une entrée de notes de travail décrivant l’événement. Si rien ne change dans l’incident de sécurité, aucune entrée de note de travail n’est créée. Tous les champs d’un incident de sécurité, y compris les champs personnalisés que vous ajoutez à la table, peuvent être définis.