Avant ServiceNow AI Platform Réponse aux incidents de sécurité que les incidents de sécurité (SIR) ne soient créés à partir d’événements notables ingérés, les valeurs de champ des alertes sont affichées dans une mise en page d’un ServiceNow AI Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera créé.

Du point de vue de l’intégration, à l’aide des API disponibles, Splunk ES les événements notables sont transmis individuellement et manuellement en tant qu’événements notables discrets, ou ils sont automatiquement ingérés dans l’environnement Opérations de sécurité de votre ServiceNow AI Platform instance en fonction du type de profil défini.

Les workflows d’intégration ingèrent différents types d’événements notables, tels que les tentatives d’accès non autorisé et les programmes malveillants, par exemple. Ces événements notables sont ingérés en fonction des profils que vous configurez dans l’environnement Opérations de sécurité de votre instance.

Tous les notables sont initialement ingérés pour un type de recherche de corrélation configuré dans un profil. Les notables ingérés peuvent ensuite être filtrés davantage pour spécifier quels notables créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les événements notables identifiés comme à haut risque. Avant qu’un profil ne soit activé et qu’il crée des incidents de sécurité à partir d’événements notables ingérés, les valeurs de champ individuelles des événements notables sont mappées aux champs correspondants d’une mise en page de l’incident de sécurité pour un aperçu.