Définir des critères de filtre et d’agrégation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Définissez et définissez des conditions de filtre pour spécifier quelles détections entrantes CrowdStrike Next-Gen SIEM doivent provoquer des incidents de sécurité. Vous pouvez également définir des critères de champ de détection supplémentaires qui permettent d’ajouter une détection entrante à un incident de sécurité ouvert au lieu de créer un incident.

    Définir les conditions de filtrage

    Définissez les conditions de filtrage de sorte que les incidents de sécurité ne soient créés que lorsque les conditions de filtrage correspondent.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Ce type de filtrage vous aide à isoler les incidents de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si vous définissez des critères de filtrage supplémentaires, seules les détections requises sont ingérées sans avoir à modifier la requête ou la configuration de détection déclenchée.

    Procédure

    1. Pour définir les critères qu’une détection CrowdStrike Next-Gen entrante doit satisfaire pour qu’un incident de sécurité soit créé, sélectionnez Filtre basé sur les conditions.

      Les options du premier champ des conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons de CrowdStrike Next-Gen pour la détection que vous avez ingérée. Ces champs sont dynamiques et changent en fonction de la détection que vous ingérez. Les critères que vous saisissez sont sensibles à la casse. Vérifiez que les critères que vous définissez correspondent aux valeurs de la détection.

      Utilisez le detection_id de condition de filtre pour les champs suivants à valeurs multiples :
      • composite_id
      • host_names
      • seconds_to_resolved
      • seconds_to_triaged

      Étant donné que la condition de filtre ne peut récupérer que des chaînes, vous devez utiliser la condition de filtre detection_id pour les champs ci-dessus afin de vous assurer que les données sont filtrées correctement.

    2. À l’aide des listes et des champs du générateur de conditions, définissez les filtres de la première ligne.
    3. Pour ajouter plus de conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
    4. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

    Définir les conditions d’agrégation

    Définissez des critères d’agrégation d’incidents supplémentaires qui regroupent une détection entrante à un incident de sécurité SIR existant au lieu de créer des détections similaires, potentiellement en double. Lorsque vous utilisez des critères de correspondance de champ pour chaque profil, cette agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données de détection connexes sur un seul incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Si un nouvel incident correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, l’incident est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.ingestion_profile_admin travaillant sur des incidents de sécurité, vous pouvez afficher tous les incidents agrégés ajoutés sur une liste connexe sur un incident de sécurité.

    Tous les incidents agrégés sur un incident de sécurité sont affichés dans la CrowdStrike Next-Gen SIEM liste connexe Incidents agrégés. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi les incidents s’ajoutent aux incidents de sécurité existants.

    Procédure

    1. Pour définir des critères de champ d’incident supplémentaires qui permettent d’ajouter une détection entrante CrowdStrike Next-Gen SIEM à un incident de sécurité ouvert au lieu de créer un nouvel incident, sélectionnez les conditions d’agrégation.
    2. Dans le champ Champs d’incident avec valeurs correspondantes , saisissez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre ServiceNow AI Platform instance.
      Toutes les valeurs de champ que vous avez sélectionnées dans le champ d’entrée de sélection multiple doivent correspondre afin que les critères d’agrégation soient remplis et que cet incident entrant puisse être ajouté à un incident de sécurité existant. Cette sélection implique qu’il s’agit d’une condition ET dans laquelle des champs, tels que des observables et des éléments de configuration qui peuvent avoir plusieurs valeurs de champ, leur sont mappés. Si seul un sous-ensemble des valeurs correspond, les conditions d’agrégation d’incidents CrowdStrike Next-Gen SIEM ne sont pas remplies et un nouvel incident de sécurité est créé.
    3. Pour ajouter plusieurs conditions de correspondance de champ, cliquez sur Ajouter un nouveau critère
      L’agrégation se produit si l’une des conditions de champ de sélection multiple que vous définissez est remplie. Cette sélection implique la condition OU .
    4. Pour mettre à jour la note de travail d’un nouvel incident lorsqu’il est ajouté à un incident de sécurité, sélectionnez Enregistrer la note de travail pour le nouvel incident.

      La note de travail consigne l’ajout d’un nouvel incident et comprend un lien vers les détails de l’incident. La note de travail du journal met également à jour les détails supplémentaires que vous ajoutez au champ Note de travail dans votre section de mappage.

    5. Pour configurer le calendrier, cliquez sur Continuer.

    Que faire ensuite

    Définissez un calendrier pour récupérer les données d’incident et les incidents ingérés qui correspondent aux critères du profil.