Explorer le mappage
Une fois que vous avez identifié la règle de corrélation spécifique et le type d’événement notable pour le profil, l’étape suivante consiste à mapper les champs d’événement notable individuels aux champs d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR).
Vue d’ensemble du mappage
Pour l’étape de mappage, vous pouvez ingérer des exemples d’événements notables pour la règle de corrélation sélectionnée ou exporter des données d’événements notables pour les événements notables transférés manuellement. Le processus de mappage d’événements est identique quel que soit le type de profil que vous créez.
Les figures suivantes sont des exemples des configurations de mappage par défaut fournies pour chaque type de profil d’événement. Vous pouvez personnaliser les champs qui renseignent l’incident de sécurité. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données de champ d’événement notables pertinentes sont mappées à l’endroit approprié sur le formulaire d’incident SIR, puis visualiser l’incident SIR dans la section d’aperçu.
Si plusieurs corrélations sont utilisées, les événements notables peuvent être extraits en sélectionnant l’événement requis. Utilisez le nom de l’alerte pour choisir votre alerte si vous avez configuré plusieurs alertes pour l’ingestion.
Une fois que vous avez cliqué pour extraire les données, les noms de champs d’événements notables et les Splunk valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événement Splunk notable qui peuvent être mappés aux champs d’incident SIR de sécurité. Certains champs peuvent être mappés plusieurs fois aux champs d’incident de sécurité SIR.
Vous préférez peut-être consulter quelques exemples d’événements notables sur votre Splunk console à ingérer pour l’étape de configuration du mappage de champ. Cette étape est étiquetée Mappage sur la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq exemples d’événements notables pour faciliter le processus de mappage des champs d’événements Splunk Enterprise Security notables. Il existe des options permettant soit d’ingérer les cinq événements notables les plus récents pour la règle de corrélation sélectionnée, soit d’ingérer jusqu’à cinq événements notables spécifiques en fonction des ID d’événements notables.
- Ingestion d’exemples de données d’événements notables planifiés : pour les exemples de données utilisés pour les profils d’événements notables ingérés automatiquement, les champs d’événements notables disponibles et leurs valeurs correspondantes sont affichés dans une mise en page de mappage par défaut sur le côté gauche du formulaire de mappage une fois les exemples de données récupérés. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’événement notable spécifique que vous avez extrait. Vérifiez que tous les champs critiques de la section d’ingestion d’échantillons d’événements notables à gauche du formulaire sont mappés aux ServiceNow champs d’incident de sécurité à droite du formulaire.
- Mappage de champs : modifiez la configuration du mappage en faisant glisser les champs d’événements notables du côté gauche et en les déposant dans la section de mappage des ServiceNow incidents SIR à droite. Le mappage sur la droite associe le champ d’événement notable entrant à un champ d’incident de sécurité sortant.
- Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + en bas de la section de mappage du champ d’incident SIR. Suivez les champs négligés ou dupliqués à l’aide du code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
- Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre vous permettant de spécifier les événements notables qui doivent créer des incidents de sécurité par rapport aux événements notables qui doivent être filtrés, par exemple, les événements notables de priorité faible. Cette opération est effectuée dans la section Conditions de génération d’incidents située sous la section Mappage d’événements notables.
- Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement notable à venir à un incident de sécurité existant SIR au lieu de créer des incidents similaires potentiellement en double. En utilisant des critères de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’événement notable de sécurité connexes sur un seul incident de sécurité.
- Formater la traduction du champ : dans certains cas, les valeurs des champs d’événement dans les Splunk événements notables Enterprise peuvent ne pas se traduire directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection virale peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident de sécurité à l’aide SIR de la fonctionnalité Formater la traduction du champ.
L’étape suivante consiste à ingérer des événements notables et à mapper les valeurs aux champs d’incident SIR de sécurité.