Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et les détails de l’événement de contribution (transfert manuel)

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Au cours de l’étape de mappage de champs d’événements notables, vous mappez les champs d’événements individuels des événements notables aux champs d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Mappez jusqu’à cinq événements notables de la colonne Ingestion d’échantillons d’événements notables à gauche du formulaire aux champs d’incident de sécurité de la colonne Mappage du champ d’incident SIR à droite.

    Créez des mappages personnalisés en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. Les champs par défaut, qui sont généralement des champs importants à renseigner sur le formulaire d’incident SIR, s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. La personnalisation des champs vous permet de mapper Splunk des champs qui ne sont pas affichés sur la grille de mappage par défaut de l’incident SIR de sécurité.

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
    2. Suivez ces étapes pour charger les données de la pièce jointe dans votre ServiceNow AI Platform® instance.
      1. Si ce n’est pas déjà fait, connectez-vous à votre Splunk Enterprise console.
      2. Accédez à l’onglet Rechercher et entrez un nom pour une recherche qui contient les données d’événement notable que vous souhaitez exporter.
        Un exemple de format de recherche pour récupérer des événements notables pour la règle de corrélation du comportement d’accès en force brute serait le suivant : 'notable'|search source="Access : comportement d’accès en force brute détecté : règle ».
      3. Développez l’événement notable et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.

        Ces champs correspondent aux paires champ-valeur qui sont exportées et affichées sur la page Mappage de votre ServiceNow AI Platform® instance.


        Splunk ES : sélectionner les événements notables pour l’exportation
      4. Dans votre Splunk Enterprise console, en haut à droite de la page Rechercher, cliquez sur l’icône Exporter .
      5. Dans la liste de choix du champ Format de la boîte de dialogue qui s’affiche, cliquez sur Format XML.
      6. Facultatif : Entrez un nouveau nom de fichier.
      7. Cliquez sur Exporter.

        Splunk ES : exporter un fichier XML
        Le fichier XML d’événement notable exporté Splunk doit maintenant être téléchargé sur votre ServiceNow AI Platform® instance.
      8. Si la page Mappage n’est pas déjà affichée dans votre ServiceNow AI Platform® instance, cliquez sur Mappage dans la barre de progression.
      9. Dans la colonne Ingestion d’exemples d’événements notables, cliquez sur Charger les données de la pièce jointe.

        Splunk ES : charger les données de la pièce jointe
      10. Dans la boîte de dialogue qui s’affiche, cliquez sur Choisir des fichiers et accédez au fichier .xml que vous avez exporté, puis cliquez sur Ouvrir.
        Une fois que vous avez cliqué pour charger les données de pièce jointe pour les événements transférés manuellement, les champs d’événement Splunk ES notable sont renseignés sur le côté gauche du formulaire. Ces valeurs sont les valeurs de champ que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident Sir du formulaire.
        Les paires de valeurs des champs que vous avez exportés pour l’événement s’affichent sur le côté gauche du formulaire de mappage.
    3. Suivez les étapes 5 à 10 de la Mapper les événements notables section.