Mapper les alertes et les événements pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Une fois que vous avez identifié les sources pour l’ingestion d’alertes planifiée ou le transfert manuel d’événements, l’étape suivante consiste à mapper les champs d’événements individuels aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Vue d'ensemble

    Pour l’étape de mappage, en tant qu’utilisateur disposant du rôle sn_si.admin, vous ingérez des échantillons d’alertes à partir de votre Splunk Enterprise console ou vous exportez les données d’événement pour un Splunk Enterprise événement.

    Les figures suivantes sont des exemples de grilles de mappage par défaut fournies pour chaque type de profil d’événement. Ce mappage par défaut peut être modifié. Cette modification vous permet de personnaliser les champs qui renseignent l’incident de sécurité. Grâce à l’étape de mappage, vous pouvez visualiser l’impact de l’ajout ou de la suppression des champs d’événements sur les valeurs des champs d’incident SIR de sécurité.

    Sélectionnez le nom de l’alerte, puis après avoir cliqué pour extraire des exemples de données, les valeurs du champ d’alerte Splunk sont renseignées sur le côté gauche du formulaire lorsque des échantillons d’alertes sont ingérés par le profil. Il s’agit des champs d’alerte Splunk que vous mappez aux champs d’incident SIR de sécurité.

    Figure 1. Formulaire de mappage par défaut pour les alertes
    Formulaire de mappage par défaut pour les alertes.

    Une fois que vous avez cliqué pour charger les données de pièce jointe des événements transférés, les champs d’événement Splunk sont renseignés sur le côté gauche du formulaire. Il s’agit des champs de Splunk données qui sont mappés aux champs d’incident SIR de sécurité.

    Figure 2. Formulaire de mappage par défaut pour les événements transférés
    Formulaire de mappage par défaut pour les événements.

    Vous préférerez peut-être passer en revue quelques exemples d’alertes sur votre Splunk console à ingérer pour l’étape de configuration du mappage de champs. Cette étape s’intitule Mappage sur la barre de progression. Si cette page ne s’affiche pas, cliquez sur Mappage dans la barre de progression.

    Le mappage des alertes et l’exportation d’événements à la demande à partir de votre Splunk console d’entreprise incluent les concepts et tâches suivants :
    • Extraire des exemples de données pour les profils d’alerte ingérés automatiquement. Une fois les données extraites (extraites) d’une alerte déclenchée sur la console, les Splunk Enterprise champs d’alerte disponibles et leurs valeurs correspondantes sont affichés dans une mise en page de mappage par défaut sur le côté gauche du formulaire de mappage. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’alerte que vous avez extrait. Vérifiez que tous les champs critiques de la section Ingestion d’échantillons d’alerte à gauche du formulaire sont mappés à la grille à droite du formulaire.
    • Si nécessaire, chargez des exemples de données d’événement pour tous les profils d’événements transférés manuellement. Les données d’exemple de ces événements sont exportées dans un fichier .xml à partir de la Splunk Enterprise console et chargées dans votre Now Platform® instance. Les données importées sont affichées dans la section Ingestion d’échantillons d’alertes, à gauche du formulaire.
    • Modifiez la configuration du mappage en faisant glisser les alertes du côté gauche et en les déposant sur la grille de mappage de droite. La grille de mappage de droite associe le champ d’alerte entrante à un champ d’incident de sécurité sortant.
    • Personnalisez la grille de mappage en ajoutant ou en supprimant des champs. Suivez les champs négligés ou dupliqués avec le codage couleur fourni.
    • Définissez des conditions de filtre afin de spécifier quelles alertes sont ingérées dans l’application SIR et quelles alertes sont filtrées.
    • Définissez des critères de champ d’incident supplémentaires qui regroupent une alerte entrante sur un incident de sécurité existant SIR afin d’empêcher les incidents en double. Ce filtrage supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données relatives aux événements de sécurité connexes sur un seul incident de sécurité.
    • Dans certains cas, les valeurs des champs d’événements de la Splunk console Enterprise peuvent ne pas être traduites directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, les valeurs des champs Alerte de programme malveillant et Infection par un virus dans la Splunk console se traduisent toutes deux par Activité de code malveillant dans le champ Catégorie de l’incident SIR de sécurité.

    Profils d’alertes planifiées

    Après la création d’un profil d’alerte planifiée, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 3. Flux de processus pour les profils d’alertes planifiées
    Flux de processus pour l’alerte planifiée.

    Profils de transfert manuel d’événements

    Après avoir créé un profil pour un événement, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 4. Flux de processus pour les profils d’événements
    Flux de processus pour l’exportation d’événements.

    L’étape suivante consiste à ingérer des alertes déclenchées ou à exporter des données et à mapper des valeurs aux champs d’incident SIR de sécurité.