Mapper les événements notables

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 11 minutes de lecture

    • Au cours de l’étape de mappage de champs d’événements notables, vous mappez les champs d’événements individuels des événements notables aux champs d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    La grille de mappage peut être personnalisée en fonction du type d’événement notable sélectionné dans la sélection de règle de corrélation. Le code couleur des champs d’événements vous aide à suivre les valeurs d’événements que vous avez déjà mappées à mesure qu’elles deviennent grisées, tandis que tous les champs non mappés restants apparaissent en bleu. Cela vous aide à mieux visualiser les valeurs de champ qui ont été ajoutées à l’incident de sécurité et si des informations d’événement importantes restantes ne sont pas mappées.

    Mappez jusqu’à cinq événements notables de la colonne Ingestion d’échantillons d’événements notables à gauche du formulaire aux champs d’incident de sécurité de la colonne Mappage du champ d’incident SIR à droite.

    Créez des mappages personnalisés en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. Les champs par défaut, qui sont généralement des champs importants à renseigner sur le formulaire de réponse aux incidents de sécurité, s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut de l’incident SIR de sécurité.

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, sélectionnez Mappage dans la barre de progression.
    2. Pour un profil avec une ingestion planifiée, sous Ingestion d’exemples d’événements notables, cliquez sur Extraire les exemples de données pour extraire les derniers exemples d’événements notables de la Splunk Enterprise console pour la règle de corrélation sélectionnée.
      Remarque :
      Vous pouvez soit extraire l’échantillon d’événements notables le plus récent, soit fournir les ID d’événements notables uniques pour les événements notables spécifiques que vous souhaitez utiliser pour votre expérience de mappage d’événements notables.

      Les résultats des champs et des valeurs d’événements notables sont affichés sous forme d’onglets individuels. Vous pouvez ingérer jusqu’à cinq événements notables.

      L’extraction d’exemples d’événements notables peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Les paires de valeurs de nom de champ pour l’événement notable ingéré ou les exemples d’événements importés s’affichent sur le côté gauche de ce formulaire une fois l’extraction de l’ingestion terminée. Ces valeurs sont les valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident SIR du formulaire.

    3. Pour mapper une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez et maintenez le doigt sur un nom de champ bleu sur le côté gauche du formulaire.
    4. Faites glisser le nom du champ, par exemple rule_name, et déposez-le sur un champ de la colonne Expression d’entrée à côté d’un nom de champ dans la colonne Incident de sécurité.

      Glisser-déplacer pour les valeurs affichées par une flèche.

      La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, rule_name est mappé au champ Description brève de l’incident de sécurité. Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ situé à droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape de prévisualisation.

      Pour vous assurer qu’aucun champ d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’un champ d’événement notable n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ notable entrant à plusieurs champs sur un incident de sécurité.

      Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage.

      Champ Description brève et valeur sur l’incident de sécurité mis en surbrillance

    5. Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
      1. À droite du formulaire, dans la section Mappage de champ d’incident SIR, en bas de la grille, cliquez sur l’icône plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.

        Mappage de champs de catégorie

        Remarque :
        Pour que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Configuration Item (Élément de configuration) et Work notes (Notes de travail) prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper à ce champ une option qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Vous pouvez également saisir une valeur dans le champ Rechercher pour la nouvelle ligne.
      4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’événement souhaité dans le champ expression d’entrée.
    6. Poursuivez le mappage en y ajoutant ou en supprimant des valeurs de champ.
      La figure suivante est un exemple de mappage modifié. Dans le champ inférieur à droite, le champ Notes de travail est ajouté et comporte plusieurs valeurs. Notez que pour le champ de chaîne de texte long, vous pouvez développer le champ de mappage pour voir la chaîne complète et le redimensionner si nécessaire en tirant le coin inférieur droit du champ comme indiqué dans la capture d’écran ci-dessous avec le champ Notes de travail ajouté :
      Notes de travail avec plusieurs valeurs mises en surbrillance
      Avertissement :
      Veuillez noter que dans la section Mappage de champ d’incident SIR , l’URL et le numéro de port mentionnés dans le champ expression d’entrée ne sont qu’un exemple et non l’URL ou le numéro de port fourni prêt à l’emploi.

      Dans l’aperçu, ces valeurs sont affichées dans les notes de travail sur l’incident de sécurité. Étant donné que la valeur concerne un champ que vous avez ajouté à la section de mappage et que plusieurs valeurs sont mappées au champ Work notes (Notes de travail), les valeurs sont affichées telles que saisies. Dans cet exemple, les espaces et les signes de ponctuation que vous avez entrés dans le champ s’affichent dans la section Éléments connexes en tant que note de travail sur l’aperçu de l’incident de sécurité.

    7. Pour recevoir des mises à jour pour les champs mappés dans SIR, cochez la case Activer les mises à jour en regard de l’expression d’entrée.Case à cocher Activer les mises à jour sélectionnée
    8. Facultatif : Une fois que vous avez terminé les étapes de mappage de champ précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un événement notable à venir doit satisfaire pour créer un SIR incident de sécurité.
      Pour définir les conditions de génération d’incidents, procédez comme suit.
      1. Faites défiler jusqu’à la section Conditions de génération d’incidents du formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.

        Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites par les champs.

        Les options du premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’exemples d’événements notables pour les événements que vous avez ingérés. Ces champs sont dynamiques et changent en fonction des Splunk événements notables que vous ingérez ou de l’événement que vous sélectionnez pour les exemples d’événements notables transférés manuellement. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’événement Splunk Enterprise Security notable. Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférerez peut-être retourner à votre Splunk Enterprise Security console et consulter vos événements notables pour les mots-clés.

      2. À l’aide des listes et des champs du générateur de conditions, définissez des filtres pour la première ligne.
      3. Pour ajouter plus de conditions, à droite des champs, cliquez sur ET ou OU.
        Si ET est sélectionné, toutes les conditions doivent être vérifiées. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
      4. Facultatif : Sur la deuxième ligne, définissez une deuxième condition de filtre.

        L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création d’incidents de sécurité.


        Générateur de conditions de filtre :2

        Vous avez défini les conditions de génération d’incidents afin que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.

        Ce type de filtrage de condition de génération d’incidents vous aide à affiner les événements de sécurité et à limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la recherche de corrélation sous-jacente ou les filtres dans Splunk. Si des critères de filtrage supplémentaires sont définis, seuls les événements notables qui correspondent à tous les critères sont mappés aux incidents.

        Remarque :
        Si l’un des noms de champs d’événement comporte des caractères spéciaux tels que des guillemets ("), des traits d’union ('), des traits de soulignement (-), at (@) ou des esperluettes (&), ces caractères peuvent être remplacés à des fins de mappage de traduction et éventuellement créer un nom d’événement en double. Le mappage peut être effectué de manière appropriée, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’événements en double. Par exemple, si le premier champ d’événement est alerts.alert et que le second champ d’événement est alerts@alerts, ces champs ne peuvent pas être identifiés de façon unique, car les caractères de texte standard restants sont identiques. Dans ce cas, un suffixe est ajouté au deuxième champ d’événement et le champ est renommé en alerts@alert(1).

      Critères d’agrégation d’événements pour gérer les notables similaires et éviter les incidents en double

    9. Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères d’agrégation d’événements supplémentaires afin que les événements notables entrants soient agrégés en un incident de sécurité ouvert.
      Pour définir les critères, procédez comme suit ci-dessous.
      1. Faites défiler jusqu’à la section Critères d’agrégation d’événements sur le formulaire et cochez la case Conditions d’agrégat pour activer cette option.

        Les champs Incident avec les valeurs correspondantes s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.

      2. Dans le champ d’entrée à sélection multiple, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre ServiceNow AI Platform.
      3. Utilisez Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ.
        Toutes les valeurs de champ que vous sélectionnez dans le champ d’entrée de sélection multiple sont mises en correspondance pour les critères d’agrégation à l’aide de la condition ET. Sélectionnez Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ où l’agrégation se produit si l’une des conditions de champ multi-sélectionnées définies est remplie à l’aide de la condition OU.

        Si un nouvel événement notable correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, le nouvel événement notable est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher tous les événements notables regroupés ajoutés sur une liste connexe sur un incident de sécurité. Tous les événements notables agrégés sur un incident de sécurité sont affichés dans la Splunk liste connexe Événement à Tâches. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces événements notables sont regroupés aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler l’écran vers la gauche de l’enregistrement sous Liens connexes, puis cliquez sur le lien Afficher toutes les listes connexes .

      4. Facultatif : Pour consigner une note de travail pour un nouvel événement notable récemment ajouté à l’incident de sécurité, cochez cette case pour activer cette option.
        La note de travail enregistre l’ajout d’un nouveau notable, ainsi qu’un lien vers les détails de l’alerte et tout autre détail qui a pu être ajouté au champ Note de travail dans votre section de mappage.
      Vous avez mappé avec succès les valeurs d’un Splunk événement notable aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également ajouté des événements notables aux incidents de sécurité existants SIR lorsque les valeurs de champ d’événement correspondent aux critères d’agrégation configurés.
    10. Choisissez-en un pour poursuivre la configuration du profil.
      OptionDescription
         
      Continuer Le formulaire de mappage s’affiche.

      L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
      Mettre à jour Vos données sont enregistrées et la liste des profils d’événement Splunk s’affiche.
      Précédent Le formulaire Sélection d’événement notable s’affiche.
      Supprimer Supprimez ce profil d’événement pour que la liste des profils d’événements Splunk s’affiche.

    Que faire ensuite

    L’étape suivante consiste à prévisualiser les valeurs que vous avez mappées sur l’incident de sécurité. Pour plus d'informations, consultez Prévisualiser l’incident de sécurité.