Définition des critères de filtre et d’agrégation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Vous pouvez définir et définir des conditions de filtre afin de pouvoir spécifier quels incidents entrants Microsoft Azure Sentinel doivent créer des incidents de sécurité. Vous pouvez également définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant à un incident de sécurité ouvert au lieu de créer un incident.

    Important :

    Microsoft a prolongé l’obsolescence de l’expérience Azure Sentinel dans le portail Azure de mars 2026 à mars 2027.

    Si vous utilisez actuellement l’intégration d’Azure Sentinel avec Réponse aux incidents de sécurité (SIR), nous vous recommandons fortement de migrer vers la nouvelle intégration du portail Defender dès que possible. L’intégration de Defender inclut un utilitaire de migration intégré qui convertit automatiquement vos profils Sentinel existants en profils Defender, tout en assurant la continuité des incidents créés via Sentinel après la transition. Pour plus d’informations, consultez le Guide de migration de Microsoft Sentinel vers Defender.

    Définir les conditions de filtrage des incidents de sécurité

    Définissez les conditions de filtrage de sorte que les incidents de sécurité ne soient créés que lorsque les conditions de filtrage correspondent.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Ce type de filtrage vous aide à isoler les incidents de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si vous définissez des critères de filtrage supplémentaires, seuls les incidents requis sont ingérés sans avoir à modifier la requête ou la configuration de l’incident déclenché.

    Procédure

    1. Pour définir les critères qu’un incident entrant Microsoft Azure Sentinel doit satisfaire pour qu’un incident de sécurité soit créé, sélectionnez Filtre basé sur les conditions.

      Les options du premier champ des conditions de filtre correspondent aux champs affichés dans la section Azure Sentinel Sample Incident Ingestion pour l’incident que vous avez ingéré. Ces champs sont dynamiques et changent en fonction de l’incident que vous ingérez. Les critères que vous saisissez sont sensibles à la casse. Vérifiez que les critères que vous définissez correspondent aux valeurs de l’incident.

      Utilisez la condition de filtre contenue pour les champs suivants à valeurs multiples :
      • properties(labels)
      • properties(additionalData(alertProductNames))
      • properties(relatedAnalyticRuleIds)
      • properties(additionalData(tactics))

      Étant donné que la condition de filtre ne peut récupérer que des chaînes, vous devez utiliser la condition de filtre contient pour les champs ci-dessus afin de vous assurer que les données sont filtrées correctement.

      Figure 1. Conditions de génération d’incidents de sécurité
      Générateur de conditions de filtre.
    2. À l’aide des listes et des champs du générateur de conditions, définissez les filtres de la première ligne.
    3. Pour ajouter plus de conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
    4. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

    Définir les conditions d’agrégation

    Définissez des critères d’agrégation d’incidents supplémentaires qui regroupent un incident entrant à un incident de sécurité SIR existant au lieu de créer des incidents similaires potentiellement en double. Lorsque vous utilisez des critères de correspondance de champ pour chaque profil, cette agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’incidents connexes sur un seul incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Si un nouvel incident correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, l’incident est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher tous les incidents agrégés ajoutés sur une liste connexe sur un incident de sécurité.

    Tous les incidents agrégés d’un incident de sécurité sont affichés dans la liste connexe des incidents agrégés Azure Sentinel. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi les incidents s’ajoutent aux incidents de sécurité existants.

    Procédure

    1. Pour définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant Microsoft Azure Sentinel à un incident de sécurité ouvert au lieu de créer un nouvel incident, sélectionnez l’option Conditions d’agrégation comme illustré dans la figure suivante.
      Figure 2. Conditions d'agrégation
      Agrégation pour définir des critères de filtrage d’incidents supplémentaires.
    2. Dans le champ Champs d’incident avec valeurs correspondantes , saisissez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre ServiceNow AI Platform instance.
      Toutes les valeurs de champ que vous avez sélectionnées dans le champ d’entrée de sélection multiple doivent correspondre afin que les critères d’agrégation soient remplis et que cet incident entrant puisse être ajouté à un incident de sécurité existant. Cette sélection implique qu’il s’agit d’une condition ET dans laquelle des champs, tels que des observables et des éléments de configuration qui peuvent avoir plusieurs valeurs de champ, leur sont mappés. Si seul un sous-ensemble des valeurs correspond, les conditions d’agrégation d’incidents Azure Sentinel ne sont pas remplies et un nouvel incident de sécurité est créé.
    3. Pour ajouter plusieurs conditions de correspondance de champ, cliquez sur Ajouter un nouveau critère
      L’agrégation se produit si l’une des conditions de champ de sélection multiple que vous définissez est remplie. Cette sélection implique la condition OU .
    4. Pour mettre à jour la note de travail d’un nouvel incident lorsqu’il est ajouté à un incident de sécurité, sélectionnez Enregistrer la note de travail pour le nouvel incident.

      La note de travail consigne l’ajout d’un nouvel incident et comprend un lien vers les détails de l’incident. La note de travail du journal met également à jour les détails supplémentaires que vous ajoutez au champ Note de travail dans votre section de mappage.

    5. Pour configurer le calendrier, cliquez sur Continuer.

    Que faire ensuite

    Définissez un calendrier pour récupérer les données d’incident et les incidents ingérés qui correspondent aux critères du profil.