Les incidents de sécurité peuvent être créés et mis à jour après leur création avec une interface bidirectionnelle avec l’intégration Splunk Enterprise Security .
Avant de commencer
L’intégration Splunk Enterprise Security dispose d’une interface bidirectionnelle qui permet aux événements notables de créer des incidents de sécurité et de mettre à jour les événements notables après leur création et/ou leur fermeture.
Les détails pertinents de l’incident comprennent notamment SIR le numéro d’incident, le groupe d’affectation et l’URL SIR de l’incident. Cette section est la dernière partie de la configuration du profil qui fournit des options facultatives pour mettre à jour les Splunk Enterprise Security événements notables.
Rôle requis : sn_si.ingestion_profile_admin
Remarque : Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.
Procédure
-
Si la page Options supplémentaires de la barre de progression ne s’affiche pas, sélectionnez Options supplémentaires.
-
Suivez les instructions ci-dessous pour terminer la configuration de la mise à jour des événements notables en fonction des mises à jour des incidents de sécurité.
| Option ou champ | Description |
|---|
| Mise à jour des événements notables lors de la création d'un incident SIR |
Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement notable. Cela peut se produire à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité et pour les événements agrégés. |
| Mise à jour de statut de l'événement notable initial |
Vous devez sélectionner dans le menu une option d’état qui affiche toutes les valeurs d’état disponibles récupérées à partir du Splunk Enterprise Security serveur. Il peut s’agir d’un statut personnalisé tel que ServiceNow : Affecté, comme illustré dans la capture d’écran ci-dessous. Sélectionnez la valeur d’état à définir pour tous les événements notables lorsqu’un incident de sécurité est créé pour un événement notable ingéré. Cela inclut les notables qui créent de nouveaux incidents et les notables qui sont ingérés et agrégés à un incident ouvert existant. |
| Commentaires initiaux renvoyés à l'événement notable |
Outre la mise à jour de la valeur d’état notable, vous pouvez également publier des commentaires sur l’historique d’examen des incidents d’événements notables. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section Commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident Réponse aux incidents de sécurité . |
| Fermer les événements notables lors de la fermeture d'un incident SIR |
Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est fermé à partir de l’événement notable. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité et pour les événements agrégés. |
| Mise à jour de statut de l'événement notable de la fermeture |
Vous devez sélectionner une option d’état dans le menu Liste qui affiche toutes les valeurs d’état disponibles récupérées à partir du Splunk Enterprise Security serveur. Il peut s’agir d’un statut personnalisé tel que ServiceNow : Affecté, comme illustré dans la capture d’écran ci-dessous. Sélectionnez la valeur d’état à définir pour tous les événements notables lorsqu’un incident de sécurité est créé pour un événement notable ingéré. Cela inclut les notables qui créent de nouveaux incidents ainsi que les notables qui sont ingérés et agrégés à un incident ouvert existant. |
| Commentaires de fermeture renvoyés à l’événement notable |
Outre la mise à jour de la valeur d’état notable, vous pouvez également publier des commentaires de fermeture dans l’historique d’examen des incidents d’événements notables. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section Commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident Réponse aux incidents de sécurité . |
| Mettre à jour l'activité d'automatisation SIR avec commentaires événement Splunk |
Option permettant de mettre à jour vos commentaires sur l’événement Splunk dans l’activité d’automatisation SIR . Le commentaire dans l’activité d’automatisation SIR apparaît avec le préfixe Commentaire de Splunk.Remarque :
À partir de Splunk Enterprise Security la version 8.0.x, le champ des commentaires est obsolète et notre application ne peut donc plus récupérer les commentaires des Splunk Enterprise Security.
|
| Mettre à jour les commentaires Splunk avec notes de travail SIR |
Option permettant de mettre à jour vos SIR notes de travail dans les commentaires sur l’événement Splunk. Le commentaire dans l’événement Splunk apparaît avec le préfixe Commentaire de ServiceNow. |
-
Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé les installations et la configuration de l’intégration. Activez ce profil pour extraire les événements notables de la
Splunk Enterprise Security console en fonction de votre planification. Il existe une limite de 1 000 incidents de sécurité qui peuvent être créés dans une période de 24 heures. Jusqu’à 100 événements notables se produisent par alerte déclenchée. Les événements notables ultérieurs seront ignorés une fois les limites atteintes.
L’image suivante montre l’onglet Additional Options (Options supplémentaires) avec les valeurs par défaut renseignées :
Lorsque la configuration des options supplémentaires est activée, l’examen de l’incident d’événement notable affiche le changement de statut et une mise à jour des commentaires de l’historique :
