Alertes de carte pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 12 minutes de lecture

    • Au cours de l’étape de mappage des champs d’événements, vous mappez les champs d’événements individuels à partir d’alertes déclenchées ou de données d’événements importées aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    La grille de mappage préconfigurée des champs d’incident de sécurité par défaut peut être modifiée. Le codage couleur des champs d’événement vous aide à surveiller les valeurs de champ que vous avez déjà mappées. Cette étape vous permet de visualiser l’impact de vos modifications sur les champs de l’incident de sécurité.

    Mappez jusqu’à cinq alertes de la colonne Ingestion d’échantillons d’alerte à gauche du formulaire aux champs d’incident de sécurité dans la colonne Mappage de champs d’incident SIR à droite.

    Créez des cartes personnalisées en ajoutant ou en supprimant les champs de la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut sur l’incident SIR de sécurité.

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
    2. Pour un profil avec une alerte planifiée, sous Ingestion d’échantillon d’alarme, sélectionnez l’alerte dans le nom de l’alerte et cliquez sur Extraire des données d’échantillon pour extraire la dernière instance d’une alerte déclenchée à partir de la Splunk Enterprise console.

      Les alertes sont affichées sous forme d’onglets. Vous pouvez ingérer jusqu’à cinq alertes les plus récentes.

      L’extraction d’exemples d’événements peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Remarque :
      Un champ de mappage supplémentaire, Nom d’alerte Splunk, est ajouté par l’intégration pour permettre de remonter d’un événement à la règle d’alerte source dans Splunk. Cela peut être utile dans les scénarios où plusieurs Splunk alertes sont combinées en un seul profil.

      Lorsqu’un champ unique contient plusieurs valeurs, celles-ci sont analysées et mises en correspondance avec des entrées de champ individuelles dans la section de mappage de champs d’incidents SIR. Par exemple, les adresses IP sources, les noms d’actifs ou les URL peuvent avoir plusieurs entrées de champ observables ou plusieurs CI, qui sont analysés et mis en correspondance avec des entrées de champ individuelles dans la section de mappage de champ d’incident SIR.

      Dans la figure suivante, les paires champ-valeur de l’alerte ingérée ou de l’échantillon d’événement importé s’affichent sur le côté gauche de ce formulaire une fois l’extraction terminée. Ces valeurs sont les valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage de champs d’incident SIR du formulaire.

      Extraire les données d’échantillon et les valeurs d’alerte ingérées mises en surbrillance.
    3. Pour les profils d’alerte planifiée, passez à l’étape cinq pour mapper les valeurs.
    4. De même, pour un profil d’un type d’événement que vous souhaitez exporter à partir de votre Splunk Enterprise console, procédez comme suit pour charger les données de pièce jointe dans votre Now Platform® instance.
      1. Si vous n’êtes pas déjà connecté, connectez-vous à votre Splunk Enterprise console.
      2. Accédez à l’onglet Rechercher et entrez un nom pour une recherche contenant les données d’événement que vous souhaitez exporter.

        Par exemple, programme malveillant est un terme de recherche utilisé pour tous les événements de programme malveillant que vous pouvez transférer avec le workflow de cette intégration.

      3. Développez l’événement et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.

        Ces champs correspondent aux paires champ-valeur qui sont exportées et affichées sur la page de mappage de votre Now Platform® instance.

      4. Dans votre Splunk Enterprise console, en haut à droite de la page de recherche, cliquez sur l’icône Exporter .
      5. Dans la liste du champ Format de la boîte de dialogue qui s’affiche, cliquez sur Format XML.
      6. Facultatif : Entrez un nouveau nom de fichier.
      7. Cliquez sur Exporter.
        Le fichier est téléchargé sur votre Now Platform® instance.
      8. Si la page de mappage n’est pas déjà affichée dans votre Now Platform® instance, cliquez sur Mappage dans la barre de progression.
      9. Dans la colonne Ingestion d’échantillon d’alerte, cliquez sur Charger les données de la pièce jointe.
        Bouton Charger les données de la pièce jointe mis en surbrillance.
      10. Dans la boîte de dialogue qui s’affiche, cliquez sur Choisir des fichiers et accédez au fichier .xml que vous avez exporté, puis cliquez sur Ouvrir.
        Les paires de valeurs des champs que vous avez exportés pour l’événement s’affichent sur le côté gauche du formulaire de mappage.

        Dans la figure suivante, les paires de données d’une alerte planifiée ingérée s’affichent sur le côté gauche de ce formulaire. Les paires de valeurs pour les événements importés sont également affichées de ce côté du formulaire. Ces valeurs correspondent aux valeurs de champ que vous mappez aux champs d’incident de sécurité du côté du formulaire Mappage de champs d’incident SIR.

    5. Pour mapper une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez longuement sur un nom de champ bleu sur le côté gauche du formulaire.
    6. Faites glisser le nom du champ, par exemple catégorie, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.
      Effectuez un glisser-déposer pour obtenir les valeurs affichées par la flèche.

      La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, la catégorie est mappée au champ de catégorie de l’incident de sécurité. Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ de droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape de prévisualisation.

      Pour vous assurer qu’aucun événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’un champ n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ d’alerte entrante à plusieurs champs sur un incident de sécurité.

      Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage, car dans certains cas, les champs d’événement d’alerte peuvent n’être affectés qu’une seule fois. Par exemple, vous ne pouvez affecter des valeurs à des champs tels que Description brève qu’une seule fois. Toutefois, vous pouvez affecter plusieurs fois des champs de liste tels que Note de travail en ajoutant des lignes supplémentaires à la grille de mappage.

      Champ de catégorie et valeur sur l’incident de sécurité mis en surbrillance.
    7. Pour ajouter des champs au mappage par défaut de l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
      1. À droite du formulaire, dans la section Mappage des champs d’incidents SIR, en bas de la grille, cliquez sur l’icône plus.
        Ajouter des champs.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.

        Dans la liste développée pour le nouveau champ, certains champs sont ombrés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. À l’instar du code couleur des champs d’alerte sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre le mappage.

        Champ Emplacement sur la liste de choix pour le nouveau champ.
        Remarque :
        Afin que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité dispose d’une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affiché dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Vous pouvez également saisir une valeur dans le champ Rechercher pour la nouvelle ligne.
      4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche de la souris pour sélectionner l’ID d’alerte souhaité dans le champ expression d’entrée.
        Grâce à la fonction de glisser-glisser, mappez-la à côté de votre nouveau champ.
    8. Poursuivez le mappage en ajoutant ou en supprimant des champs et en ajoutant des valeurs à la carte.
      La figure suivante est un exemple de grille de mappage modifiée. Dans le champ inférieur à droite, le champ Notes de travail est ajouté et il a plusieurs valeurs. Les valeurs sont séparées par des espaces et des signes de ponctuation (Category :${category} | destination IP :78.146.73.180).
      Notes de travail avec plusieurs valeurs mises en surbrillance.

      Dans l’aperçu, ces valeurs sont affichées dans les notes de travail sur l’incident de sécurité. Étant donné que la valeur correspond à un champ que vous avez ajouté à la grille et que plusieurs valeurs sont mappées au champ Notes de travail, les valeurs s’affichent telles qu’elles sont saisies. Dans cet exemple, les espaces et les signes de ponctuation que vous avez saisis dans le champ sont affichés dans la section Éléments connexes sous forme de note de travail dans l’aperçu de l’incident de sécurité.

      L’image suivante est un exemple de la façon dont les valeurs de l’image précédente sont affichées sur l’incident de sécurité.

      Valeur du champ Note de travail affichée lors de l’incident de sécurité.

      Conditions de filtrage de génération d’incidents

    9. Facultatif : Une fois que vous avez terminé les étapes de mappage au niveau des champs précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de filtre pour définir les critères supplémentaires qu’une alerte entrante doit satisfaire pour créer un SIR incident de sécurité.
      Pour définir les conditions de filtrage, procédez comme suit.
      1. Faites défiler l’écran jusqu’à la section Conditions de génération d’incidents du formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.

        Le Créateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.

        Les options des listes pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’alerte pour l’alerte que vous avez ingérée. Ces champs sont dynamiques et changent en fonction de l’alerte Splunk que vous ingérez ou de l’événement que vous transférez manuellement. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’alerte ou de l’événement Splunk Enterprise . Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférez peut-être revenir à votre Splunk Enterprise console et consulter vos alertes et événements à la recherche de mots clés.

        Générateur de conditions de filtre.
      2. À l’aide des listes et des champs du générateur de conditions, définissez des filtres pour la première ligne.
      3. Pour ajouter d’autres conditions, à droite des champs, cliquez sur ET ou OU.
        Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
      4. Facultatif : Dans la deuxième ligne, définissez une deuxième condition de filtre.

        L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création des incidents de sécurité.

        Générateur de conditions de filtre.

        Vous avez défini les conditions de déclenchement de sorte que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.

        Ce type de filtrage vous aide à isoler les événements de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si des critères de filtrage supplémentaires sont définis, seules les alertes requises sont ingérées sans avoir à modifier la Splunk requête ou la configuration des alertes déclenchées.

        Alertes d’agrégation pour éviter les incidents en double

    10. Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères de champ d’incident supplémentaires afin que les alertes entrantes soient regroupées en un incident de sécurité ouvert.
      Pour définir ce critère, procédez comme suit.
      1. Faites défiler l’écran jusqu’à la section Critères d’agrégation d’alertes du formulaire et cochez la case Conditions d’agrégat pour activer cette option.

        Les colonnes Incident Field Matching Values (Valeurs correspondantes du champ d’incident) s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés dans l’incident SIR de sécurité.

        Zone de liste double des critères d’agrégation.
      2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre Now Platform et déplacez-les vers la liste Sélectionné.

        Toutes les valeurs de champ que vous sélectionnez doivent correspondre pour ajouter cette alerte entrante à un incident de sécurité existant. Si vous préférez examiner les valeurs de champ des incidents de sécurité à utiliser pour ce critère, accédez à Incidents > Afficher tous les incidents.

        Si une nouvelle alerte correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation de l’étape de mappage, l’alerte est automatiquement ajoutée à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher toutes les alertes agrégées ajoutées dans une liste connexe d’un incident de sécurité. Toutes les alertes regroupées sur un incident de sécurité sont affichées dans la Splunk liste connexe Événements à tâches. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi des alertes sont ajoutées aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .

        Liste connexe Événement Splunk à Tâches mise en surbrillance.
      3. Facultatif : Pour consigner une note de travail pour une nouvelle alerte récemment ajoutée à l’incident de sécurité, cochez la case pour activer cette option.
        La note de travail consigne qu’une nouvelle alerte a été ajoutée, ainsi qu’un lien vers les détails de l’alerte.
      Vous avez mappé avec succès les valeurs d’une alerte ou d’un Splunk événement aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage. Vous avez également ajouté des alertes ou des événements aux incidents de sécurité existants SIR .
    11. Facultatif : Ouvrez l’éditeur de script et poursuivez la modification.

      Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion.

    12. Choisissez-en un pour poursuivre la configuration du profil.
      OptionDescription
         
      Continuer Le formulaire de mappage s’affiche.

      L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
      Mettre à jour Vos données sont enregistrées et la liste des profils d’événements s’affiche Splunk .
      Précédent Le formulaire Alert Selection (Sélection d’alerte) s’affiche.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événements s’affiche Splunk .

    Que faire ensuite

    L’étape suivante consiste à prévisualiser les valeurs que vous avez mappées sur l’incident de sécurité.