Commandes de recherche manuelle
Les commandes de recherche manuelle sont saisies à partir de n’importe quelle fenêtre de recherche. Vous pouvez créer un incident ou un événement de sécurité. Après la commande, des paires de noms de champs et de valeurs sont utilisées pour créer l’enregistrement souhaité.
Événement de sécurité
La commande d’événement de sécurité, snsecevent, crée un événement dans ServiceNow avec la classification de sécurité.
Ces événements peuvent être examinés indépendamment, ou des règles d’alerte intégrées ServiceNow ou des actions manuelles peuvent transformer un événement ou une collection d’événements en incident de sécurité.
| Nom de paramètre | Obligatoire | Utiliser | Utiliser dans un incident de sécurité |
|---|---|---|---|
| nœud | Oui | Le nœud représente le serveur ou l’élément de configuration pour l’événement. Idéalement, ce nœud est mappé à un CI existant dans ServiceNow. | Utiliser dans un incident de sécurité |
| type | Oui | La catégorie de l’événement. | Description brève |
| resource | Oui | L’élément de configuration. | Description brève |
| source | Non | L’origine de ces données. Par défaut, c’est le serveur Splunk qui génère les données. | Journal d'activité |
| external_url | Non | URL d’exploration vers le bas à utiliser pour ServiceNow revenir aux données Splunk concernant cet événement. Par défaut, cette URL contient le lien de résultat de toute alerte ou un lien vers la page de recherche Splunk par défaut. | URL externe accessible via le bouton Exploration vers le bas du formulaire d’incident de sécurité |
| time_of_event | Non | Heure à laquelle l’événement a été enregistré dans Splunk. | N/A |
| Toutes les autres valeurs (catégorie, sous-catégorie dans l’exemple) | Non | Tout champ qui ne fait pas partie du champ d’information dans l’événement. Si un incident de sécurité est créé, il est utilisé. | Si le champ existe et qu’il n’est pas renseigné, c’est que l’incident de sécurité utilise cette valeur. Par exemple, la catégorie transmise par l’événement devient la catégorie du nouvel incident de sécurité. Si aucun champ portant ce nom n’existe, la valeur est placée dans le journal d’activité. |
Incident de sécurité
La commande d’incident de sécurité, snsecincident, crée un incident de sécurité dans votre ServiceNow instance.
| Paramètre | Obligatoire | Utiliser |
|---|---|---|
| short_description | Oui | Description brève d’une ligne de l’incident. |
| catégorie | Non | Catégorie de l’incident de sécurité. Si cette catégorie n’existe pas, elle est créée. |
| sous-catégorie | Non | La sous-catégorie. Si cette sous-catégorie n’existe pas, elle est créée. |
| cmdb_ci | Non | Élément de configuration pour l’incident de sécurité. Idéalement, cet élément est mappé à un CI existant dans ServiceNow. |
| description | Non | La description la plus longue et la plus détaillée de l’incident. |
Il existe de nombreuses colonnes utiles possibles : tout ce qui se trouve dans la carte de transformation des incidents de sécurité peut être utilisé. Si de nouvelles colonnes sont ajoutées à l’incident de sécurité, elles sont également utilisées, à condition qu’elles se trouvent dans la carte de transformation. Quelques colonnes utiles : emplacement, priorité, assignment_group, assigned_to, affected_user, attack_vector et watch_list.