Commandes de recherche manuelle
Les commandes de recherche manuelle sont saisies à partir de n’importe quelle fenêtre de recherche. Vous pouvez créer un incident ou un événement de sécurité. Après la commande, des paires de noms de champs et de valeurs sont utilisées pour créer l’enregistrement souhaité.
Événement de sécurité
La commande d’événement de sécurité, snsecevent, crée un événement dans ServiceNow la classification de sécurité.
Ces événements peuvent être examinés de façon autonome. Des règles d’alerte internes ServiceNow ou des actions manuelles peuvent transformer un événement ou une collection d’événements en incident de sécurité.
| Nom de paramètre | Obligatoire | Utiliser | Utilisation dans un incident de sécurité |
|---|---|---|---|
| nœud | Oui | Le nœud représente le serveur ou l’élément de configuration de l’événement. Idéalement, ce nœud est mappé à un CI existant dans .ServiceNow | Utilisation dans un incident de sécurité |
| type | Oui | La catégorie de l’événement. | Description courte |
| Ressource | Oui | Élément de configuration. | Description courte |
| source | Non | L’origine de ces données. Par défaut, le serveur Splunk génère les données. | Journal d'activité |
| external_url | Non | URL d’exploration à utiliser ServiceNow pour revenir aux données Splunk concernant cet événement. Par défaut, cette URL contient le lien de résultat d’une alerte ou un lien vers la page de recherche Splunk par défaut. | URL externe accessible via le bouton Exploration vers le bas du formulaire d’incident de sécurité |
| time_of_event | Non | Heure à laquelle l’événement a été enregistré dans Splunk. | N/A |
| Toutes les autres valeurs (catégorie, sous-catégorie dans l’exemple) | Non | Tout champ qui ne fait pas partie du champ d’informations dans l’événement. Si un incident de sécurité est créé, il est utilisé. | Si le champ existe et qu’il n’est pas renseigné, l’incident de sécurité utilise cette valeur. Par exemple, la catégorie transmise par l’événement devient la catégorie du nouvel incident de sécurité. Si aucun champ portant ce nom n’existe, la valeur est placée dans le journal d’activité. |
Incident de sécurité
La commande d’incident de sécurité, snsecincident, crée un incident de sécurité dans votre ServiceNow instance.
| Paramètre | Obligatoire | Utiliser |
|---|---|---|
| short_description | Oui | Description courte de l’incident sur une ligne. |
| catégorie | Non | Catégorie de l’incident de sécurité. Si cette catégorie n’existe pas, elle est créée. |
| Sous-catégorie | Non | La sous-catégorie. Si cette sous-catégorie n’existe pas, elle est créée. |
| cmdb_ci | Non | Élément de configuration de l’incident de sécurité. Idéalement, cet élément est mappé à un CI existant dans .ServiceNow |
| description | Non | Description plus longue et plus détaillée de l’incident. |
Il existe de nombreuses colonnes utiles possibles : tout ce qui se trouve dans la carte de transformation des incidents de sécurité peut être utilisé. Si de nouvelles colonnes sont ajoutées à l’incident de sécurité, elles sont également utilisées, tant qu’elles se trouvent dans la carte de transformation. Quelques colonnes utiles : emplacement, priorité, assignment_group, assigned_to, affected_user, attack_vector et watch_list.