Mapper les alertes et les événements pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Une fois que vous avez identifié les sources pour l’ingestion d’alerte planifiée ou le transfert manuel d’événements, l’étape suivante consiste à mapper les champs d’événements individuels aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Vue d'ensemble

    Pour l’étape de mappage, en tant qu’utilisateur disposant du rôle sn_si.admin, vous ingérez des échantillons d’alertes à partir de votre Splunk Enterprise console ou vous exportez les données d’événement d’un Splunk Enterprise événement.

    Les figures suivantes sont des exemples de grilles de mappage par défaut fournies pour chaque type de profil d’événement. Ce mappage par défaut peut être modifié. Cette modification vous permet de personnaliser les champs qui renseignent l’incident de sécurité. Avec l’étape de mappage, vous pouvez visualiser l’impact de l’ajout ou de la suppression de champs d’événements sur les valeurs de champ d’incident SIR de sécurité.

    Sélectionnez le nom de l’alerte et, après avoir cliqué pour extraire les données d’échantillon, les valeurs du champ d’alerte Splunk sont renseignées sur le côté gauche du formulaire lorsque des échantillons d’alertes sont ingérés par le profil. Il s’agit des champs d’alerte Splunk que vous mappez aux champs d’incident SIR de sécurité.

    Figure 1. Formulaire de mappage par défaut pour les alertes
    Formulaire de mappage par défaut pour les alertes.

    Une fois que vous avez cliqué pour charger les données de pièce jointe pour les événements transférés, les champs d’événement Splunk sont renseignés sur le côté gauche du formulaire. Il s’agit des Splunk champs de données qui sont mappés aux champs d’incident SIR de sécurité.

    Figure 2. Formulaire de mappage par défaut pour les événements transférés
    Formulaire de mappage par défaut pour les événements.

    Vous préférez peut-être examiner quelques exemples d’alertes sur votre Splunk console à ingérer pour l’étape de configuration du mappage de champ. Cette étape s’intitule Mappage sur la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression.

    Le mappage des alertes et l’exportation d’événements à la demande à partir de votre Splunk console d’entreprise incluent les concepts et les tâches suivants :
    • Extraire des exemples de données pour les profils d’alerte ingérés automatiquement. Une fois que les données sont extraites (extraites) à partir d’une alerte déclenchée sur la console, les Splunk Enterprise champs d’alerte disponibles et leurs valeurs correspondantes sont affichés dans une mise en page de mappage par défaut sur le côté gauche du formulaire de mappage. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’alerte que vous avez extrait. Vérifiez que tous les champs critiques de la section Ingestion d’échantillons d’alerte à gauche du formulaire sont mappés à la grille à droite du formulaire.
    • Si nécessaire, chargez des données d’échantillon d’événement pour tous les profils d’événements transférés manuellement. Les données d’exemple pour ces événements sont exportées dans un fichier .xml à partir de la Splunk Enterprise console et chargées dans votre Now Platform® instance. Les données importées sont affichées dans la section Ingestion d’échantillons d’alerte à gauche du formulaire.
    • Modifiez la configuration de mappage en faisant glisser les alertes sur le côté gauche et en les déposant sur la grille de mappage à droite. La grille de mappage sur la droite associe le champ d’alerte entrante à un champ d’incident de sécurité sortant.
    • Personnalisez la grille de mappage en ajoutant ou en supprimant des champs. Suivez les champs négligés ou dupliqués grâce au code couleur fourni.
    • Définissez des conditions de filtre afin de pouvoir spécifier les alertes ingérées dans l’application SIR et celles qui sont filtrées.
    • Définissez des critères de champ d’incident supplémentaires qui regroupent une alerte entrante en un incident de sécurité existant SIR afin d’éviter les incidents en double. Ce filtrage supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données relatives aux événements de sécurité connexes sur un seul incident de sécurité.
    • Dans certains cas, les valeurs de champ d’événement de la Splunk console Enterprise peuvent ne pas se traduire directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez mettre en forme des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, les valeurs des champs Alerte de programme malveillant et Infection par un virus de la Splunk console se traduisent toutes deux par activité de code malveillant dans le champ Catégorie de l’incident SIR de sécurité.

    Profils d’alerte planifiée

    Après la création d’un profil d’alerte planifiée, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 3. Flux de processus pour les profils d’alerte planifiée
    Flux de processus pour l’alerte planifiée.

    Profils de transfert d’événements manuels

    Après la création d’un profil pour un événement, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 4. Flux de processus pour les profils d’événements
    Flux de processus pour l’exportation d’événements.

    L’étape suivante consiste à ingérer des alertes déclenchées ou à exporter des données et à mapper des valeurs aux champs d’incident SIR de sécurité.