Configurer le mappage de champs personnalisés

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • Le mappage de champs vous permet de configurer la façon dont chaque champ d’un flux de données tel que texte, CSV ou JSON est interprété et affecté à l’observable correspondant.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Tous > Espaces de travail > Centre de sécurité des renseignements sur les menaces > Intégrations.
    2. Sélectionner Flux de Threat Intelligence > Tous les flux > Texte.
    3. Sélectionnez Configurer une nouvelle source.
    4. Renseignez les détails du formulaire de flux de texte au besoin.
      Pour plus d'informations, reportez-vous à la section Configurer un nouveau flux de renseignements sur les menaces.
    5. Dans la nouvelle vue de formulaire, accédez au champ Data Parsing Mechanism (Mécanisme d’analyse des données ) dans la section Configuration (Configuration ).
      Pour plus d’informations sur le mécanisme d’analyse de données, reportez-vous à la section Configurer un nouveau flux de renseignements sur les menaces.
    6. Sélectionnez l’option Mappage de champ personnalisé .
    7. Accédez à la section Mappage de champ .
    8. Sélectionnez Configurer pour ajouter le mappage de champ pour la nouvelle source de données.
      Cette section comprend trois étapes, telles que l’ajout de données d’échantillon, le mappage de champs et la prévisualisation des exemples d’enregistrements mappés.
    9. Pour ajouter les exemples de données, sélectionnez Charger les exemples de données.
      Cela affiche les exemples de données de l’option sélectionnée. L’application affiche uniquement les lignes de données pertinentes et les lignes commençant par # sont exclues des exemples de données. Les identificateurs de commentaire peuvent être modifiés avec la propriété système : sn_sec_tisc.feed_comment_identifiers.

      L’application extrait un échantillon des données entrantes soit à partir d’un fichier d’échantillon (tel que .txt, .csv ou .json), soit directement à partir de l’URL de flux configurée (l’URL du flux et les informations d’identification saisies dans la section Détails ). Cela vous permet d’afficher un aperçu de la structure et du contenu des données avant de définir les mappages de champs.

    10. Sélectionnez Charger un fichier d’exemple ou Données de flux à partir de l’URL du flux.
      Ces exemples de données récupère les dix premiers enregistrements par défaut. Ce nombre total d’enregistrements à récupérer peut être modifié avec la propriété système [sn_sec_tisc.feed_field_mapping_sample_count].

      La vue de liste affiche un éditeur de code préservant la structure et le formatage d’origine des données brutes.

      TISC : mappage de champs Ajout d’exemples de données.

    11. Sélectionnez Suivant pour configurer le mappage de champ.
    12. Sélectionnez l’option Définir un délimiteur pour l’analyse des données dans la liste déroulante.
      Lorsque vous utilisez des flux de texte, le délimiteur est essentiel pour analyser correctement les données en champs individuels.

      Dans ce scénario, le flux de texte utilise l’opérateur de barre verticale (|) comme délimiteur qui sépare chaque valeur des exemples de données textuelles en colonnes distinctes. L’identification et l’application correctes de ce délimiteur sont essentielles pour confirmer la précision du mappage des champs et la réussite de l’ingestion des données.

      Les expressions régulières (RegEx) sont également prises en charge en tant que délimiteurs pour le flux de texte, ce qui offre une flexibilité supplémentaire lors de l’analyse de données de flux complexes et non pour les flux JSON et CSV.

      Remarque :
      Pour les flux CSV, la virgule (,) est le délimiteur par défaut et les flux JSON n’en requièrent aucun.
    13. Sélectionnez Mettre à jour le délimiteur.
      Les options permettant d’ajouter des champs pour le mappage de champs s’affichent.
    14. Procédez à l’ajout du mappage de champ en sélectionnant les valeurs appropriées dans la liste déroulante.
      Délimiteur de données de mappage de champ TISC
    15. Utilisez le script de transformation pour transformer et normaliser les valeurs d’entrée avant de les mapper aux observables.
      Vous pouvez mapper la même colonne source (par exemple, colonne 2) plusieurs fois, par exemple au champ Contexte supplémentaire , à l’aide d’un gestionnaire de script dédié.
      Important :
      • Plusieurs champs sources mappés avec les mêmes champs observables cibles de type chaîne. Pour obtenir la liste de référence des champs de type chaîne, consultez la table sn_sec_tisc_observable_source .
      • Les types de champs Observable tels que Contexte supplémentaire, Auteur et Description autorisent plusieurs mappages de champs. Examinez et mettez à jour les mappages selon les besoins.
      • Le même champ source peut être mappé à plusieurs champs cibles sans aucune limitation.

      Des scripts de transformation peuvent être appliqués pour personnaliser la façon dont les données sont traitées et enrichies pendant le mappage.

      1. Sélectionnez l’icône Activer/désactiver le script de transformation pour configurer le script.
        La boîte de dialogue Configurer le script pour le champ source s’affiche.
      2. Cochez la case Activer le script de transformation dans la boîte de dialogue Configurer le script pour le champ source .
      3. Ajoutez ou modifiez le script.

        Par exemple, si votre champ d’entrée contient des valeurs telles que faible, moyenne ou élevée et que vous souhaitez mapper ces valeurs à des niveaux de fiabilité numériques (compris entre 0 et 100), vous pouvez utiliser le script de transformation pour convertir la valeur entrée et la mapper au champ de confiance de l’observable.

        Par exemple, si votre champ d’entrée contient une valeur de chaîne et que vous souhaitez mapper ces valeurs à un type de chaîne en tant que contexte supplémentaire (type d’observable), vous pouvez utiliser le script de transformation pour entrer la valeur ou sans le script de transformation pour la mapper au champ Contexte supplémentaire de l’observable.

        Remarque :
        Chaque enregistrement de mappage prend en charge son propre script, ce qui permet aux utilisateurs de définir une logique de transformation personnalisée pour chaque mappage.
        Script de transformation de mappage de champ TISC
      4. Sélectionnez Enregistrer pour enregistrer le script afin d’obtenir la valeur cible mise à jour.
      5. Fermez la boîte de dialogue Configurer le script pour le champ source et passez à l’étape suivante.
        Mappage au niveau du champ.
    16. Sélectionnez Suivant pour prévisualiser les mappages de champs dans la section Aperçu .
      TISC : prévisualiser les données d’aperçu de mappage de champ.
    17. Prévisualisez l’exemple de mappage de champs et sélectionnez Enregistrer.
      Un message de confirmation s’affiche et indique que le mappage de champ a bien été enregistré.

      Dans le cadre du mappage d’exemples de champs, l’application identifie automatiquement le type d’observable (par exemple, adresse IP v4, etc.) que l’utilisateur a mappé à partir des exemples de données. Ce mécanisme rationalise le processus de mappage et garantit que les types d’observables appropriés sont affectés en fonction de l’entrée.

      Si plusieurs champs sources sont mappés au même champ observable , tel que Contexte supplémentaire, après l’ingestion du flux, les valeurs s’affichent dans le champ mappé respectif (qui est le contexte supplémentaire), chacune séparée par une nouvelle ligne. Voici un exemple de capture d’écran de la colonne observable affichée dans la nouvelle ligne.

      Colonne de source d’observable : contexte supplémentaire

      Important :
      Exécution d’intégration de mappage de champ : toute exécution d’intégration effectuée pour ce type de flux utilisera la configuration de mappage de champ enregistrée. Cela garantit que les données entrantes sont systématiquement analysées et mappées aux attributs observables corrects en fonction de la structure définie lors de la configuration.
      Remarque :
      Sélectionnez Modifier le mappage de champ pour modifier et apporter les changements nécessaires au mappage de champ si nécessaire. Un message d’alerte s’affiche pour confirmer si vous souhaitez poursuivre la modification. Confirmez l’invite et sélectionnez Oui pour continuer. Apportez les modifications nécessaires aux mappages de champs à l’aide des exemples de données mis à jour et enregistrez les modifications.

      Toutes les modifications apportées au mappage de champ seront appliquées aux futures exécutions d’intégration pour ce flux.

      Vérifiez toujours les exemples de données après les changements pour vous assurer que l’analyse est correcte avant d’exécuter l’intégration.