Mapper les alertes pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 12 minutes de lecture

    • Au cours de l’étape de mappage de champs d’événements, vous mappez les champs d’événements individuels des alertes déclenchées ou des données d’événements importées aux champs d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    La grille de mappage préconfigurée des champs d’incident de sécurité par défaut peut être modifiée. Le code couleur des champs d’événement vous aide à surveiller les valeurs de champ que vous avez déjà mappées. Cette étape vous permet de visualiser l’impact de vos modifications sur les champs de l’incident de sécurité.

    Mappez jusqu’à cinq alertes de la colonne Ingestion d’échantillons d’alerte à gauche du formulaire aux champs d’incident de sécurité dans la colonne Mappage du champ d’incident SIR à droite.

    Créez des cartes personnalisées en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut de l’incident SIR de sécurité.

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, sélectionnez Mappage dans la barre de progression.
    2. Pour un profil avec une alerte planifiée, sous Ingestion d’échantillon d’alarme, sélectionnez l’alerte dans le nom de l’alerte et sélectionnez Extraire un échantillon de données pour extraire la dernière instance d’une alerte déclenchée à partir de la Splunk Enterprise console.

      Les alertes s’affichent sous forme d’onglets. Vous pouvez ingérer jusqu’à cinq des alertes les plus récentes.

      L’extraction des exemples d’événements peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

      Remarque :
      Un champ de mappage supplémentaire, Nom de l’alerte Splunk, est ajouté par l’intégration pour permettre de tracer un événement jusqu’à la règle d’alerte source dans Splunk. Cela peut être utile dans les scénarios où plusieurs Splunk alertes sont combinées en un seul profil.

      Lorsqu’un seul champ contient plusieurs valeurs, celles-ci sont analysées et mappées aux entrées de champ individuelles de la section de mappage de champ d’incident SIR. Par exemple, les adresses IP, les noms d’actifs ou les URL sources peuvent avoir plusieurs entrées de champ observables ou plusieurs CI, celles-ci sont analysées et mappées à des entrées de champ individuelles dans la section Mappage du champ d’incident SIR.

      Les paires champ-valeur de l’alerte ingérée, ou l’exemple d’événement importé, s’affichent sur le côté gauche de ce formulaire une fois l’extraction terminée. Ces valeurs sont les valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident SIR du formulaire.

    3. Pour les profils d’alerte planifiée, passez à l’étape cinq pour mapper les valeurs.
    4. Pour créer un profil pour un type d’événement que vous souhaitez exporter à partir de votre Splunk Enterprise console, procédez comme suit pour charger les données de la pièce jointe dans votre ServiceNow AI Platform® instance.
      1. Si ce n’est pas déjà fait, connectez-vous à votre Splunk Enterprise console.
      2. Accédez à l’onglet Rechercher et entrez un nom pour une recherche qui contient les données d’événement que vous souhaitez exporter.

        Par exemple, programme malveillant est un terme de recherche utilisé pour tous les événements de programme malveillant que vous pouvez transférer avec le workflow de cette intégration.

      3. Développez l’événement et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.

        Ces champs correspondent aux paires champ-valeur qui sont exportées et affichées sur la page Mappage de votre ServiceNow AI Platform® instance.

      4. Dans votre Splunk Enterprise console, en haut à droite de la page Rechercher, sélectionnez l’icône Exporter .
      5. Dans la liste du champ Format de la boîte de dialogue qui s’affiche, sélectionnez Format XML.
      6. Facultatif : Entrez un nouveau nom de fichier.
      7. Sélectionnez Exporter.
        Le fichier est téléchargé sur votre ServiceNow AI Platform® instance.
      8. Si la page Mappage n’est pas déjà affichée dans votre ServiceNow AI Platform® instance, sélectionnez Mappage dans la barre de progression.
      9. Dans la colonne Ingestion d’échantillons d’alerte, sélectionnez Charger les données de la pièce jointe.
      10. Dans la boîte de dialogue qui s’affiche, sélectionnez Choisir des fichiers et accédez au fichier .xml que vous avez exporté, puis sélectionnez Ouvrir.
        Les paires de valeurs des champs que vous avez exportés pour l’événement s’affichent sur le côté gauche du formulaire de mappage.

        Dans la figure suivante, les paires de données d’une alerte planifiée ingérée sont affichées sur le côté gauche de ce formulaire. Les paires de valeurs des événements importés sont également affichées sur ce côté du formulaire. Ces valeurs sont les valeurs de champ que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident Sir du formulaire.

    5. Pour mapper une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, sélectionnez-maintenez un nom de champ bleu sur le côté gauche du formulaire.
    6. Faites glisser le nom du champ, par exemple host, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.
      Glisser-déplacer pour les valeurs affichées par une flèche.

      La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, la catégorie est mappée au champ de catégorie de l’incident de sécurité. Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ situé à droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape de prévisualisation.

      Pour vous assurer qu’aucun événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’aucun champ n’est encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ d’alerte entrante à plusieurs champs sur un incident de sécurité.

      Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage, car dans certains cas, les champs d’événement d’alerte peuvent n’être affectés qu’une seule fois. Par exemple, vous ne pouvez affecter des valeurs à des champs tels qu’une seule fois à Description brève. Toutefois, vous pouvez affecter plusieurs fois des champs de liste tels que Note de travail en ajoutant des lignes supplémentaires à la grille de mappage.

    7. Pour ajouter des champs au mappage par défaut de l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
      1. À droite du formulaire, dans la section Mappage de champ d’incident SIR, en bas de la grille, sélectionnez l’icône plus.
        Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.

        Dans la liste développée pour le nouveau champ, certains champs sont ombrés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour les champs d’alerte sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre le mappage.

        Champ Emplacement sur la liste de choix pour le nouveau champ.
        Remarque :
        Pour que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Configuration Item (Élément de configuration) et Work notes (Notes de travail) prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper à ce champ une option qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Vous pouvez également saisir une valeur dans le champ Rechercher pour la nouvelle ligne.
      4. Dans la partie gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’alerte souhaité dans le champ expression d’entrée.
        Avec la fonction de glissement, mappez-le à côté de votre nouveau champ.
    8. Poursuivez le mappage en ajoutant ou en supprimant des champs et en ajoutant des valeurs à la carte.
      La figure suivante est un exemple de grille de mappage modifiée. Dans le champ inférieur à droite, le champ Notes de travail est ajouté et comporte plusieurs valeurs. Les valeurs sont séparées par des espaces et des signes de ponctuation (${_time}$ | $(source}$ | ${Nom de l’alerte Splunk)$).
      Notes de travail avec plusieurs valeurs mises en surbrillance.

      Dans l’aperçu, ces valeurs sont affichées dans les notes de travail sur l’incident de sécurité. Étant donné que la valeur correspond à un champ que vous avez ajouté à la grille et que plusieurs valeurs sont mappées au champ Work notes (Notes de travail), les valeurs s’affichent telles qu’elles ont été saisies. Dans cet exemple, les espaces et les signes de ponctuation que vous avez entrés dans le champ s’affichent dans la section Éléments connexes en tant que note de travail sur l’aperçu de l’incident de sécurité.

      Conditions de filtrage de génération d’incidents

    9. Facultatif : Une fois que vous avez terminé les étapes de mappage au niveau du champ précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de filtre pour définir des critères supplémentaires qu’une alerte entrante doit satisfaire pour créer un SIR incident de sécurité.
      Pour définir des conditions de filtrage, procédez comme suit.
      1. Faites défiler jusqu’à la section Conditions de génération d’incidents du formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.

        Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites par les champs.

        Les options dans les listes du premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’alerte pour l’alerte que vous avez ingérée. Ces champs sont dynamiques et changent en fonction de l’alerte Splunk que vous ingérez ou de l’événement que vous transférez manuellement. Les critères que vous entrez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’alerte ou de l’événement Splunk Enterprise . Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférerez peut-être revenir à votre Splunk Enterprise console et consulter vos alertes et événements concernant les mots clés.

      2. À l’aide des listes et des champs du générateur de conditions, définissez des filtres pour la première ligne.
      3. Pour ajouter plus de conditions, à droite des champs, sélectionnez ET ou OU.
        Si ET est sélectionné, toutes les conditions doivent être vérifiées. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
      4. Facultatif : Sur la deuxième ligne, définissez une deuxième condition de filtre.

        L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création d’incidents de sécurité.

        Générateur de conditions de filtre.

        Vous avez défini les conditions de déclenchement afin que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.

        Ce type de filtrage vous aide à isoler les événements de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si des critères de filtrage supplémentaires sont définis, seules les alertes requises sont ingérées sans qu’il soit nécessaire de modifier la requête ou la Splunk configuration des alertes déclenchées.

        Regrouper des alertes pour éviter les incidents en double

    10. Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères de champ d’incident supplémentaires afin que les alertes entrantes soient regroupées en un incident de sécurité ouvert.
      Pour définir ces critères, procédez comme suit.
      1. Faites défiler jusqu’à la section Critères d’agrégation d’alertes du formulaire et cochez la case Conditions d’agrégat pour activer cette option.

        Les colonnes Valeurs correspondantes au champ d’incident s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.

        Zone de sélection des critères d’agrégation.
      2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre ServiceNow AI Platform et déplacez-les vers la liste Sélectionné.

        Toutes les valeurs de champ que vous sélectionnez doivent correspondre pour ajouter cette alerte entrante à un incident de sécurité existant. Si vous préférez passer en revue les valeurs de champ sur les incidents de sécurité à utiliser pour ce critère, accédez à Incidents > Afficher tous les incidents.

        Si une nouvelle alerte correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, l’alerte est automatiquement ajoutée à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher toutes les alertes agrégées ajoutées sur une liste connexe sur un incident de sécurité. Toutes les alertes agrégées sur un incident de sécurité sont affichées dans la Splunk liste connexe Événement à Tâches. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi les alertes sont ajoutées aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et sélectionnez le lien Afficher toutes les listes connexes .

        Liste connexe Événement Splunk à Tâches mise en surbrillance.
      3. Facultatif : Pour consigner une note de travail pour une nouvelle alerte récemment ajoutée à l’incident de sécurité, cochez la case pour activer cette option.
        La note de travail indique qu’une nouvelle alerte a été ajoutée, ainsi qu’un lien vers les détails de l’alerte.
      Vous avez mappé avec succès les valeurs d’une alerte ou d’un Splunk événement aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage. Vous avez également ajouté des alertes ou des événements aux incidents de sécurité existants SIR .
    11. Facultatif : Ouvrez l’éditeur de script et poursuivez la modification.

      Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion.

    12. Choisissez-en un pour poursuivre la configuration du profil.
      OptionDescription
         
      Continuer Le formulaire de mappage s’affiche.

      L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
      Mettre à jour Vos données sont enregistrées et la liste des profils d’événements s’affiche Splunk .
      Précédent Le formulaire de sélection d’alerte s’affiche.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événement s’affiche Splunk .

    Que faire ensuite

    L’étape suivante consiste à prévisualiser les valeurs que vous avez mappées sur l’incident de sécurité.