Définir des critères de filtre et d’agrégation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Définissez et définissez des conditions de filtre pour spécifier quels incidents Cortex XSIAM entrants doivent créer des incidents de sécurité. Vous pouvez également définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant à un incident de sécurité ouvert au lieu de créer un incident.

    Définir les conditions de filtrage

    Définissez les conditions de filtre pour lesquelles les incidents Palo Alto Cortex XSIAM créent des incidents de sécurité dans ServiceNow.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.ingestion_profile_admin

    Pourquoi et quand exécuter cette tâche

    Le filtrage vous aide à isoler les incidents de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si vous définissez des critères de filtrage supplémentaires, seuls les incidents requis sont ingérés sans avoir à modifier la requête ou la configuration de l’incident déclenché.

    Procédure

    Sélectionnez Filtre basé sur les conditions pour définir les critères qu’un incident XSIAM entrant doit satisfaire pour qu’un incident de sécurité soit créé.

    Les options du premier champ des conditions de filtre correspondent aux champs affichés dans la section Intégration d’exemples d’incidents Cortex XSIAM pour l’incident que vous avez ingéré. Ces champs sont dynamiques et changent en fonction de l’incident que vous ingérez. Les critères que vous saisissez sont sensibles à la casse. Vérifiez que les critères que vous définissez correspondent aux valeurs de l’incident.

    Utilisez le incident_id de condition de filtre pour les champs suivants à valeurs multiples :
    • Gravité
    • creation_time
    • alert_categories
    • alert_count

    Étant donné que la condition de filtre ne peut récupérer que des chaînes, vous devez utiliser la condition de filtre incident_id pour les champs ci-dessus afin de vous assurer que les données sont filtrées correctement.

    Définir les conditions d’agrégation

    Sélectionnez Conditions d’agrégation pour définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant à un incident de sécurité ouvert au lieu d’en créer un nouveau.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.ingestion_profile_admin

    Procédure

    1. Cochez la case Conditions d’agrégation .
    2. Dans le champ Champs d’incident avec valeurs correspondantes , saisissez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre ServiceNow AI Platform instance.
      Toutes les valeurs de champ que vous avez sélectionnées dans le champ d’entrée de sélection multiple doivent correspondre afin que les critères d’agrégation soient remplis et que cet incident entrant puisse être ajouté à un incident de sécurité existant. Cette sélection implique qu’il s’agit d’une condition ET dans laquelle des champs, tels que des observables et des éléments de configuration qui peuvent avoir plusieurs valeurs de champ, leur sont mappés. Si seul un sous-ensemble des valeurs correspond, les conditions d’agrégation d’incidents Cortex XSIAM ne sont pas remplies et un nouvel incident de sécurité est créé.
    3. Sélectionnez Ajouter un nouveau critère pour ajouter plusieurs conditions de correspondance de champ.
      L’agrégation se produit si l’une des conditions de champ de sélection multiple que vous définissez est remplie. Cette sélection implique la condition OU .
    4. Sélectionnez Enregistrer la note de travail pour le nouvel incident afin de mettre à jour la note de travail pour un nouvel incident lorsqu’il est ajouté à un incident de sécurité.

      La note de travail consigne l’ajout d’un nouvel incident et comprend un lien vers les détails de l’incident. La note de travail du journal met également à jour les détails supplémentaires que vous ajoutez au champ Note de travail dans votre section de mappage.

      Définir les conditions de filtrage et d’agrégation

    5. Sélectionnez Continuer.

    Que faire ensuite

    Définissez un calendrier pour récupérer les données d’incident et les incidents ingérés qui correspondent aux critères du profil. Pour plus d'informations, consultez Planifier la récupération de l’incident.