Création automatique d’incidents de sécurité
Des outils de surveillance tiers, tels que Splunk, peuvent être intégrés Réponse aux incidents de sécurité afin que les événements de sécurité importés à partir de ces outils génèrent automatiquement des incidents de sécurité. Vous pouvez également importer des données à partir d’outils tiers dans des alertes de sécurité.
Pour intégrer des outils de surveillance des alertes à Réponse aux incidents de sécurité, vous devez utiliser l’API REST pour écrire dans la table d’importation d’incident de sécurité [sn_si_incident_import]. Ensuite, à l’aide des cartes de transformation d’incident de sécurité, la table source du jeu d’importation est mappée aux champs de la table cible Incident de sécurité [sn_si.incident].
Si vous tentez d’importer des enregistrements de CI qui ne sont pas reconnus par la carte de transformation, le script de carte de transformation vérifie l’enregistrement pour les éléments suivants (dans cet ordre) afin de tenter d’établir une correspondance :
- sys_id
- Nom CI :
- nom de domaine pleinement qualifié
- Adresse IP
Remarque :
Si vous trouvez que la carte de transformation d’incident de sécurité n’est pas adéquate pour l’outil de surveillance des alertes tiers que vous utilisez, dupliquez la carte de transformation, créez-en une nouvelle et modifiez les champs selon vos besoins.