Prévisualiser l’incident de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Une fois l’étape de mappage terminée, prévisualisez les valeurs que vous avez mappées dans un ServiceNow AI Platform® Réponse aux incidents de sécurité incident de sécurité (SIR). Cette étape d’aperçu vous permet de vérifier que vous avez mappé tous les champs notables que vous souhaitez afficher sur l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Prévisualisez un incident de sécurité et modifiez à nouveau le mappage si nécessaire pour corriger les champs comportant des erreurs ou pour renseigner les données manquantes. Si l’aperçu n’est pas terminé, vous ne pouvez pas passer à l’étape de planification. Les aperçus des incidents de SIR sécurité ne sont pas enregistrés en tant qu’incidents réels dans le SIR produit.

    Procédure

    1. Si l’aperçu de l’incident de sécurité n’est pas affiché, sélectionnez Aperçu dans la barre de progression.
    2. Dans la liste de choix Nom d’événement, sélectionnez un élément si plusieurs événements ont été utilisés.
    3. Sélectionnez les ID d’événements dans la liste de choix Exemples d’ID d’événements notables.
    4. Dans la liste de choix Exemples d’ID d’événements notables, sélectionnez un élément.

      Sélectionner la liste de choix d’événements développée.

      L’incident de sécurité s’affiche. Ne modifiez pas les informations contenues dans les champs. Cette vue est en lecture seule et aucun enregistrement de cet incident de sécurité n’est enregistré.

    5. Passez en revue le mappage de champs des valeurs d’événements notables sur l’incident de sécurité.

      Message d’erreur sur un incident de sécurité dans l’aperçu.

      L’image précédente est un exemple d’aperçu avec une erreur de mappage. Dans cet exemple, une valeur de champ de l’événement notable n’a pas de valeur acceptable pour le champ de référence sur le formulaire d’incident SIR. Un message d’erreur s’affiche indiquant qu’une valeur d’entrée n’a pas été trouvée pour le champ Priorité . Par conséquent, cette valeur de champ mappée n’apparaîtra pas sur le formulaire d’incident de sécurité SIR sans autre modification.

    6. Pour résoudre cette erreur, sélectionnez Mappage dans la barre de progression.
    7. Modifiez le mappage pour corriger les valeurs incorrectes ou renseigner les données manquantes.
    8. Prévisualisez à nouveau le mappage et continuez à corriger les erreurs décrites dans les messages d’erreur.

      La figure suivante est un exemple d’onglet Détails de l’incident dans la moitié inférieure d’un SIR incident de sécurité après la résolution de tous les messages d’erreur. Pour cet exemple, les champs Description et Notes de travail ont été mappés, et ces champs sont renseignés avec les valeurs des paires de valeurs extraites des échantillons d’événements Splunk Enterprise Security notables. Le premier champ Notes de travail n’a pas de valeur. Ce champ a été laissé vide sur la grille de mappage au cours de l’étape de mappage. Les champs Note de travail supplémentaires qui ont des valeurs ont été ajoutés à la section de mappage.


      Champs Note de travail et Description dans l’aperçu de l’incident de sécurité
      Remarque :
      La section Aperçu du profil affiche les éléments connexes pour l’utilisateur affecté sans correspondance et l’élément de configuration sans correspondance lorsqu’aucun enregistrement CMDB ou d’identité correspondant n’est trouvé. Après l’ingestion, les enregistrements d’incidents de sécurité affichent le CI sans correspondance dans la liste connexe Éléments de configuration et les utilisateurs affectés sans correspondance dans une liste connexe dédiée, ce qui garantit une visibilité complète des entités affectées tout au long du cycle de vie de l’incident.
    9. Une fois que vous avez corrigé les erreurs et vérifié que les champs sont comme vous le souhaitez, choisissez une option pour continuer.
      OptionDescription
      Continuer Le formulaire de planification s’affiche pour les profils avec des événements notables planifiés.

      La planification est sélectionnée dans la barre de progression.
      Terminer Pour les profils configurés pour le transfert manuel d’événements, cliquez sur Terminer. Il n’existe aucune étape de planification pour les profils avec des données d’événement qui sont exportés sur demande directement depuis la Splunk Enterprise Security console.
      Mettre à jour Vos données sont enregistrées et vous êtes renvoyé à la liste des profils d’événement Splunk .
      Précédent L’étape Mappage s’affiche dans la barre de progression.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événement s’affiche Splunk .

    Que faire ensuite

    Si aucun message d’erreur n’est affiché et que vous êtes satisfait du mappage de champ sur l’incident de sécurité, l’étape suivante consiste à Planifier et récupérer des alertes pour l’intégration Splunk Enterprise Event Ingestion.