Mapper les alertes pour l’intégration Splunk Enterprise Event Ingestion

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

12 minutes de lecture

Au cours de l’étape de mappage de champs d’événements, vous mappez les champs d’événements individuels des alertes déclenchées ou des données d’événements importées aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

La grille de mappage préconfigurée des champs d’incident de sécurité par défaut peut être modifiée. Le code couleur des champs d’événements vous aide à surveiller les valeurs de champ que vous avez déjà mappées. Cette étape vous permet de visualiser l’impact de vos modifications sur les champs de l’incident de sécurité.

Mappez jusqu’à cinq alertes de la colonne Ingestion d’échantillons d’alerte à gauche du formulaire aux champs d’incident de sécurité dans la colonne Mappage du champ d’incident SIR à droite.

Créez des cartes personnalisées en ajoutant ou en supprimant des champs sur la grille de mappage située à droite du formulaire. La personnalisation des champs vous permet de mapper Splunk les champs qui ne sont pas affichés sur la grille de mappage par défaut de l’incident SIR de sécurité.

Procédure

Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
Pour un profil avec une alerte planifiée, sous Ingestion d’échantillon d’alarme, sélectionnez l’alerte dans le nom de l’alerte et cliquez sur Extraire les données d’échantillon pour extraire la dernière instance d’une alerte déclenchée à partir de la Splunk Enterprise console.

Les alertes s’affichent sous forme d’onglets. Vous pouvez ingérer jusqu’à cinq des alertes les plus récentes.

L’extraction des exemples d’événements peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

Remarque :
Un champ de mappage supplémentaire, Nom d’alerte Splunk, est ajouté par l’intégration pour permettre de retracer un événement jusqu’à la règle d’alerte source dans Splunk. Cela peut être utile dans les scénarios où plusieurs Splunk alertes sont combinées dans un seul profil.

Lorsqu’un seul champ contient plusieurs valeurs, celles-ci sont analysées et mappées aux entrées de champ individuelles de la section de mappage de champ d’incident SIR. Par exemple, les adresses IP, les noms de ressources ou les URL sources peuvent avoir plusieurs entrées de champ observables ou plusieurs CI, ceux-ci sont analysés et mappés à des entrées de champ individuelles dans la section de mappage de champ d’incident SIR.

Dans la figure suivante, les paires nom de champ de l’alerte ingérée, ou de l’exemple d’événement importé, s’affichent sur le côté gauche de ce formulaire une fois l’extraction terminée. Il s’agit des valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident SIR du formulaire.
Pour les profils d’alerte planifiée, passez à l’étape cinq pour mapper les valeurs.
Pour le profil d’un type d’événement que vous souhaitez exporter à partir de votre Splunk Enterprise console, procédez comme suit pour charger les données de la pièce jointe dans votre Now Platform® instance.
1. Si vous n’êtes pas déjà connecté, connectez-vous à votre Splunk Enterprise console.
2. Accédez à l’onglet Rechercher et entrez un nom pour une recherche qui contient les données d’événement que vous souhaitez exporter.
  
  Par exemple, programme malveillant est un terme de recherche utilisé pour tous les événements de programme malveillant que vous pouvez transférer avec le workflow de cette intégration.
3. Développez l’événement et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.
  
  Ces champs correspondent aux paires champ-valeur qui sont exportées et affichées sur la page de mappage de votre Now Platform® instance.
4. Dans votre Splunk Enterprise console, en haut à droite de la page de recherche, cliquez sur l’icône Exporter .
5. Dans la liste du champ Format de la boîte de dialogue qui s’affiche, cliquez sur Format XML.
6. Facultatif : Entrez un nouveau nom de fichier.
7. Cliquez sur Exporter.
  Le fichier est téléchargé sur votre Now Platform® instance.
8. Si la page Mappage n’est pas déjà affichée dans votre Now Platform® instance, cliquez sur Mappage dans la barre de progression.
9. Dans la colonne Ingestion d’échantillons d’alerte, cliquez sur Charger les données de la pièce jointe.
10. Dans la boîte de dialogue qui s’affiche, cliquez sur Choisir des fichiers et accédez au fichier .xml que vous avez exporté, puis cliquez sur Ouvrir.
  Les paires de valeurs des champs que vous avez exportés pour l’événement s’affichent sur le côté gauche du formulaire de mappage.
  Dans la figure suivante, les paires de données d’une alerte planifiée ingérée s’affichent sur le côté gauche de ce formulaire. Les paires de valeurs des événements importés sont également affichées de ce côté du formulaire. Il s’agit des valeurs de champ que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident Sir du formulaire.
Pour faire correspondre une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez tout en maintenant enfoncé le nom d’un champ bleu sur le côté gauche du formulaire.
Faites glisser le nom du champ, par exemple la catégorie, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.

La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, la catégorie est mappée au champ de catégorie de l’incident de sécurité. Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ sur la droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape d’aperçu.

Pour vous assurer qu’aucun événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par des couleurs. Les champs bleu clair sur la gauche indiquent qu’aucun champ n’est encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ d’alerte entrante à plusieurs champs sur un incident de sécurité.

Un champ gris indique qu’un champ a été sélectionné et mappé à un champ de l’incident de sécurité. Ce code couleur vous aide à suivre le mappage, car dans certains cas, les champs d’événement d’alerte peuvent n’être affectés qu’une seule fois. Par exemple, vous ne pouvez affecter des valeurs à des champs tels qu’une seule fois à une description brève. Toutefois, vous pouvez affecter plusieurs fois des champs de liste tels que Note de travail en ajoutant des lignes supplémentaires à la grille de mappage.
Pour ajouter des champs au mappage par défaut de l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
1. À droite du formulaire, dans la section Mappage du champ d’incidents SIR, au bas de la grille, cliquez sur l’icône plus.
  
  Un nouveau champ s’affiche.
2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
  
  Dans la liste développée du nouveau champ, certains champs sont ombrés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour les champs d’alerte sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre le mappage.
  
  Remarque :
  Afin que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
3. Vous pouvez également saisir une valeur dans le champ Rechercher de la nouvelle ligne.
4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’alerte souhaité dans le champ expression d’entrée.
  Avec la fonction de glissement, mappez-le à côté de votre nouveau champ.
Poursuivez le mappage en ajoutant ou en supprimant des champs et en ajoutant des valeurs à la carte.
La figure suivante est un exemple de grille de mappage modifiée. Dans le champ inférieur à droite, le champ Notes de travail est ajouté et comporte plusieurs valeurs. Les valeurs sont séparées par des espaces et des signes de ponctuation (Category :${category} | destination IP :78.146.73.180).

Dans l’aperçu, ces valeurs sont affichées dans les notes de travail sur l’incident de sécurité. Étant donné que la valeur se rapporte à un champ que vous avez ajouté à la grille et que plusieurs valeurs sont mappées au champ Notes de travail, les valeurs s’affichent telles qu’elles sont saisies. Dans cet exemple, les espaces et les signes de ponctuation que vous avez entrés dans le champ s’affichent dans la section Éléments connexes sous forme de note de travail sur l’aperçu de l’incident de sécurité.

L’image suivante est un exemple de la façon dont les valeurs de l’image précédente sont affichées sur l’incident de sécurité.

Conditions de filtrage de génération d’incidents
Facultatif : Une fois que vous avez terminé les étapes de mappage au niveau du champ précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de filtre pour définir des critères supplémentaires qu’une alerte entrante doit satisfaire pour créer un incident de SIR sécurité.
Pour définir des conditions de filtrage, procédez comme suit.
1. Faites défiler la page jusqu’à la section Conditions de génération d’incidents sur le formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.
  
  Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.
  
  Les options des listes pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’alerte pour l’alerte que vous avez ingérée. Ces champs sont dynamiques et changent en fonction de l’alerte Splunk que vous ingérez ou de l’événement que vous transférez manuellement. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’alerte ou de l’événement Splunk Enterprise . Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférerez peut-être revenir à votre Splunk Enterprise console et passer en revue vos alertes et événements concernant les mots clés.
2. À l’aide des listes et des champs du générateur de conditions, définissez des filtres pour la première ligne.
3. Pour ajouter plus de conditions, à droite des champs, cliquez sur ET ou OU.
  Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
4. Facultatif : Sur la deuxième ligne, définissez une deuxième condition de filtre.
  
  L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création d’incidents de sécurité.
  
  Vous avez défini les conditions de déclenchement afin que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.
  
  Ce type de filtrage vous aide à isoler les événements de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si des critères de filtrage supplémentaires sont définis, seules les alertes requises sont ingérées sans qu’il soit nécessaire de modifier la requête ou la Splunk configuration des alertes déclenchées.
  
  Agrégation d’alertes pour éviter les incidents en double
Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères de champ d’incident supplémentaires afin que les alertes entrantes soient regroupées en un incident de sécurité ouvert.
Pour définir ces critères, procédez comme suit.
1. Faites défiler jusqu’à la section Critères d’agrégation d’alertes sur le formulaire et cochez la case Conditions d’agrégat pour activer cette option.
  
  Les colonnes Valeurs correspondantes au champ Incident s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.
2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans Now Platform votre et déplacez-les vers la liste Sélectionné.
  
  Toutes les valeurs de champ que vous sélectionnez doivent être mises en correspondance pour ajouter cette alerte entrante à un incident de sécurité existant. Si vous préférez examiner les valeurs de champ sur les incidents de sécurité à utiliser pour ce critère, accédez à Incidents > Afficher tous les incidents.
  
  Si une nouvelle alerte correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, l’alerte est automatiquement ajoutée à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher toutes les alertes agrégées ajoutées sur une liste connexe sur un incident de sécurité. Toutes les alertes agrégées sur un incident de sécurité sont affichées dans la Splunk liste connexe Événement à Tâches. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi des alertes sont ajoutées aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .
3. Facultatif : Pour enregistrer une note de travail pour une nouvelle alerte récemment ajoutée à l’incident de sécurité, cochez la case pour activer cette option.
  La note de travail indique qu’une nouvelle alerte a été ajoutée, ainsi qu’un lien vers les détails de l’alerte.
Vous avez mappé avec succès les valeurs d’une alerte ou d’un Splunk événement aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage. Vous avez également ajouté des alertes ou des événements aux incidents de sécurité existants SIR .
Facultatif : Ouvrez l’éditeur de script et poursuivez la modification.

Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion.

Choisissez-en un pour poursuivre la configuration du profil.

Option	Description

Continuer	Le formulaire Mappage s’affiche. L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
Mettre à jour	Vos données sont enregistrées et la liste des profils d’événements s’affiche Splunk .
Précédent	Le formulaire Alert Selection (Sélection d’alerte) s’affiche.
Supprimer	Supprimez ce profil d’événement pour afficher la liste des profils d’événement Splunk .

Que faire ensuite

L’étape suivante consiste à prévisualiser les valeurs que vous avez mappées sur l’incident de sécurité.