Définir des règles de corrélation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 1 minute de lecture

    • Une fois que vous avez créé un profil pour une ingestion de type d’événement notable planifiée, sélectionnez un nom de Splunk Enterprise Security règle de corrélation pour ce profil pour lequel vous souhaitez mapper les événements notables correspondants à un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Affichez les règles de corrélation disponibles dans votre ServiceNow AI Platform instance afin de connaître les types d’événements notables pour lesquels vous souhaitez ingérer et créer des incidents de sécurité. Sélectionnez une règle de corrélation. Vous pouvez sélectionner un ou plusieurs événements notables dans la liste de ce formulaire.

    Procédure

    1. Si vous ne poursuivez pas à partir de la section précédente du processus de définition du profil d’incident, accédez au profil que vous définissez.
      1. Accédez à tous>Splunk ES profil d’événement.
      2. Sélectionnez le profil que vous continuez à définir.
      3. Sélectionnez Sélection d’événements notables dans la barre de progression.
    2. Case à cocher Décocher toutes les règles de corrélation sélectionnée pour sélectionner des règles de corrélation spécifiques.
      Cochez cette case pour récupérer les dernières règles de corrélation du Splunk ES profil actif.
    3. Dans le champ de recherche Liste de règles de corrélation , saisissez le nom de la règle de corrélation créée dans le Splunk ES portail.
    4. Sélectionnez la ou les règles de corrélation.
    5. Utilisez la flèche droite ( >) pour déplacer la ou les règles de la colonne Disponible à la colonne Sélectionné .
      Remarque :
      Les règles de corrélation doivent être uniques entre les profils actifs. Une règle de corrélation associée à un profil actif ne peut pas être sélectionnée pour un autre profil actif. Pour réutiliser la règle, désactivez le profil auquel elle est actuellement associée.
      Profil d’événement Splunk ES : sélectionner l’événement notable
    6. Sélectionnez Continuer.

    Que faire ensuite

    Mapper les événements notables