Planifier et récupérer les événements notables

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Pour les profils d’ingestion automatisée d’événements notables, cette étape est requise dans la configuration du profil d’événement. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération des événements notables ou modifier la planification si nécessaire. Cette étape vous permet également de récupérer des événements notables historiques à l’aide d’une plage de dates.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Pour les profils d’ingestion automatisée d’événements notables, vous choisissez si vous souhaitez ingérer des événements notables historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous interrogerez les nouveaux événements notables futurs et les événements notables mis à jour qui correspondent à la configuration du profil d’alerte.

    Pour les profils automatisés d’ingestion d’événements notables, avant que le profil ne soit activé, vous vérifiez et modifiez la planification et la récupération des alertes. Il s’agit d’une étape obligatoire pour tout le processus de configuration de profil d’événement pour les profils d’alerte planifiée.

    Vous configurez ces intervalles d’interrogation pour chaque profil. Les différents intervalles d’interrogation peuvent affecter les performances de l’intégration de l’ingestion Splunk d’événements. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le Splunk Enterprise Security désir d’être averti dès que possible lorsqu’un événement notable est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre à une minute si nécessaire.

    Extraction d’événements notables nouveaux et mis à jour

    Lorsque la planification d’interrogation est définie, la tâche planifiée extrait les événements notables nouveaux et mis à jour qui ont été extraits précédemment, mais qui ne répondent pas aux critères de filtrage des incidents. Vous avez ainsi la possibilité de créer des incidents basés sur des critères qui peuvent ne pas être présents lors de la création initiale d’un événement notable, mais qui deviennent disponibles après une mise à jour, par exemple pendant la phase d’enquête. Une fois qu’un incident a été créé pour un événement notable spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que le notable soit maintenant traité comme un incident de sécurité actif ServiceNow® . Toutefois, tous les autres notables qui ont été précédemment ingérés mais qui ne répondent pas aux critères de génération d’incidents continueront d’être extraits et vérifiés par rapport aux critères de génération d’incidents jusqu’à ce qu’ils fassent partie d’un incident actif.

    Procédure

    1. Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.
    2. Choisissez-en un pour planifier comment et quand les événements notables sont extraits de la Splunk Enterprise Security console.
      OptionDescription
      • Champ d’ingestion d’événements en cours sélectionné
      • Champ Récupération ponctuelle effacé
      		 Événement en cours

      En fonction du paramètre par défaut, l’instance ServiceNow AI Platform extrait du Splunk Enterprise Security serveur les événements notables nouveaux et mis à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des événements notables sont détectés et si les critères de filtrage de génération d’incidents sont vérifiés. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être modifiée pour atteindre une minute si nécessaire.
      • Champ Événement notable en cours effacé
      • Champ de récupération ponctuelle sélectionné
      		 Récupération ponctuelle

      Utilisez cette configuration si vous souhaitez une extraction unique pour ingérer des événements notables historiques.

      Lorsque ce paramètre est configuré, un profil est utilisé une seule fois pour récupérer les événements notables à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire les alertes. À partir de la valeur Depuis la date, les événements notables sont récupérés jusqu’à la date actuelle. Notez que vous pouvez remonter jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements Splunk Enterprise Security historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’événements en cours sur lesquels nous travaillons activement au moment de l’activation du profil.

      Une fois les événements notables extraits, ce paramètre ne récupère plus d’événements notables pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec tous les événements notables trouvés pour la plage que vous entrez.

      Page de planification avec calendrier affiché.

      Par exemple, pour planifier une heure d’ingestion d’événement notable initiale, si vous avez une vérification de sécurité quotidienne Splunk qui s’exécute une fois par jour à 4 heures du matin, heure locale, vous pouvez configurer le profil d’événement notable correspondant dans votre ServiceNow AI Platform instance pour qu’il s’exécute à 4 h 05, heure locale, pour capturer immédiatement l’événement de défaillance de sécurité et créer un incident de sécurité. Saisissez 04 05 00 dans le champ d’ingestion de l’événement initial. Dans le champ Incrément (minutes), entrez 1 440 (24 heures) pour planifier l’ingestion de l’événement suivante pendant 24 heures à compter de l’ingestion d’événement initiale. Les champs indiquent les délais d’intégration des événements initiaux et les délais d’intégration des événements suivants.

    3. Pour configurer les paramètres de cet exemple, procédez comme suit.
      1. Une fois la page Planification affichée, cochez la case Ingestion d’événements en cours pour activer cette option.
      2. Dans le champ Incrément (minutes), saisissez 1 440 (24 heures).
      3. Cochez la case Sélectionner l’ingestion de l’événement initial pour activer la modification des champs Ingestion de l’événement initial et Ingestion de l’événement suivant.
      4. Dans le champ d’ingestion de l’événement initial, saisissez 04 05 00.
        L’heure de l’ingestion de l’événement suivant (estimation) s’affiche dans le champ Ingestion de l’événement suivant.
    4. Cliquez sur l’un des éléments suivants pour poursuivre la configuration du profil.
      OptionDescription
      Continuer Le formulaire Options supplémentaires s’affiche. Options supplémentaires est sélectionné dans la barre de progression. L’étape suivante consiste à mettre à jour les événements notables lorsque l’incident SIR est créé et/ou fermé.
      Mettre à jour Vos données sont enregistrées et la liste des profils de sécurité d’événement s’affiche Splunk .
      Précédent Le formulaire de planification s’affiche.
      Supprimer Supprimez ce profil d’événement et la liste des profils d’événement s’affiche Splunk Enterprise Security .