Commandes de recherche manuelle
Les commandes de recherche manuelle sont saisies à partir de n’importe quelle fenêtre de recherche. Vous pouvez créer un incident ou un événement de sécurité. Après la commande, des paires de noms de champs et de valeurs sont utilisées pour créer l’enregistrement souhaité.
Événement de sécurité
La commande d’événement de sécurité, snsecevent, crée un événement avec ServiceNow la classification de sécurité.
Ces événements peuvent être examinés seuls, ou des règles d’alerte internes ServiceNow , ou des actions manuelles peuvent transformer un événement ou une collection d’événements en incident de sécurité.
| Nom de paramètre | Obligatoire | Utiliser | Utiliser dans un incident de sécurité |
|---|---|---|---|
| nœud | Oui | Le nœud représente le serveur ou l’élément de configuration de l’événement. Idéalement, ce nœud est mappé à un CI existant dans ServiceNow. | Utiliser dans un incident de sécurité |
| type | Oui | La catégorie de l’événement. | Description brève |
| Ressource | Oui | Élément de configuration. | Description brève |
| source | Non | L’origine de ces données. Par défaut, le serveur Splunk génère les données. | Journal d'activité |
| external_url | Non | URL d’exploration vers le bas à utiliser ServiceNow pour revenir aux données Splunk concernant cet événement. Par défaut, cette URL contient le lien de résultat d’une alerte ou un lien vers la page de recherche Splunk par défaut. | URL externe accessible via le bouton Explorer vers le bas sur le formulaire d’incident de sécurité |
| time_of_event | Non | Heure à laquelle l’événement a été connecté dans Splunk. | N/A |
| Toutes les autres valeurs (catégorie, sous-catégorie dans l’exemple) | Non | Tout champ qui ne fait pas partie du champ d’information de l’événement. Si un incident de sécurité est créé, il est utilisé. | Si le champ existe et n’est pas renseigné, l’incident de sécurité utilise cette valeur. Par exemple, la catégorie transmise par l’événement devient la catégorie du nouvel incident de sécurité. Si aucun champ portant ce nom n’existe, la valeur est placée dans le journal d’activité. |
Incident de sécurité
La commande d’incident de sécurité, snsecincident, crée un incident de sécurité dans votre ServiceNow instance.
| Paramètre | Obligatoire | Utiliser |
|---|---|---|
| short_description | Oui | Description courte de l’incident sur une ligne. |
| catégorie | Non | Catégorie de l’incident de sécurité. Si cette catégorie n’existe pas, elle est créée. |
| sous-catégorie | Non | Sous-catégorie. Si cette sous-catégorie n’existe pas, elle est créée. |
| cmdb_ci | Non | Élément de configuration de l’incident de sécurité. Idéalement, cet élément est mappé à un CI existant dans ServiceNow. |
| description | Non | La description plus longue et détaillée de l’incident. |
Il existe de nombreuses colonnes utiles possibles : tout ce qui se trouve dans la carte de transformation des incidents de sécurité peut être utilisé. Si de nouvelles colonnes sont ajoutées à l’incident de sécurité, elles sont également utilisées, tant qu’elles figurent dans la carte de transformation. Quelques colonnes utiles : emplacement, priorité, assignment_group, assigned_to, affected_user, attack_vector et watch_list.