Configurer le mappage de champs personnalisés

  • Rversion finale: Yokohama
  • Mis à jour 21 juil. 2025
  • 4 minutes de lecture

    • Le mappage de champs vous permet de configurer la façon dont chaque champ d’un flux de données tel que texte, CSV ou JSON est interprété et affecté à l’observable correspondant.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à Tous > Espaces de travail > Centre de sécurité des renseignements sur les menaces > Intégrations.
    2. Sélectionner Flux de Threat Intelligence > Tous les flux > Texte.
    3. Sélectionnez Configurer une nouvelle source.
    4. Renseignez les détails du formulaire de flux de texte au besoin.
      Pour plus d'informations, reportez-vous à la section Configurer un nouveau flux de renseignements sur les menaces.
    5. Dans la nouvelle vue de formulaire, accédez au champ Data Parsing Mechanism (Mécanisme d’analyse des données ) dans la section Configuration (Configuration ).
      Pour plus d’informations sur le mécanisme d’analyse de données, reportez-vous à la section Configurer un nouveau flux de renseignements sur les menaces.
    6. Sélectionnez l’option Mappage de champ personnalisé .
    7. Accédez à la section Mappage de champ .
    8. Sélectionnez Configurer pour ajouter le mappage de champ pour la nouvelle source de données.
      Cette section comprend trois étapes, telles que l’ajout de données d’échantillon, le mappage de champs et la prévisualisation des exemples d’enregistrements mappés.
    9. Pour ajouter les exemples de données, sélectionnez Charger les exemples de données.
      Cela affiche les exemples de données de l’option sélectionnée. L’application affiche uniquement les lignes de données pertinentes et les lignes commençant par # sont exclues des exemples de données. Les identificateurs de commentaire peuvent être modifiés avec la propriété système : sn_sec_tisc.feed_comment_identifiers.

      L’application extrait un échantillon des données entrantes soit à partir d’un fichier d’échantillon (tel que .txt, .csv ou .json), soit directement à partir de l’URL de flux configurée (l’URL du flux et les informations d’identification saisies dans la section Détails ). Cela vous permet d’afficher un aperçu de la structure et du contenu des données avant de définir les mappages de champs.

    10. Sélectionnez Charger un fichier d’exemple ou Données de flux à partir de l’URL du flux.
      Ces exemples de données récupère les dix premiers enregistrements par défaut. Ce nombre total d’enregistrements à récupérer peut être modifié avec la propriété système sn_sec_tisc.feed_field_mapping_sample_count.

      TISC : mappage de champs Ajout d’exemples de données.

    11. Sélectionnez Suivant pour configurer le mappage de champ.
    12. Sélectionnez l’option Définir un délimiteur pour l’analyse des données dans la liste déroulante.
      Lorsque vous utilisez des flux de texte, le délimiteur est essentiel pour analyser correctement les données en champs individuels.
      Dans ce scénario, le flux de texte utilise l’opérateur de barre verticale (|) comme délimiteur qui sépare chaque valeur des exemples de données textuelles en colonnes distinctes. L’identification et l’application correctes de ce délimiteur sont essentielles pour garantir un mappage précis des champs et une ingestion de données réussie.
      Remarque :
      Pour les flux CSV, la virgule (,) est le délimiteur par défaut et les flux JSON n’en requièrent aucun.
    13. Sélectionnez Mettre à jour le délimiteur.
      Les options permettant d’ajouter des champs pour le mappage de champs s’affichent.
    14. Procédez à l’ajout du mappage de champ en sélectionnant les valeurs appropriées dans la liste déroulante.
      Délimiteur de données de mappage de champ TISC
    15. Utilisez le script de transformation pour transformer et normaliser les valeurs d’entrée avant de les mapper aux observables.
      1. Sélectionnez l’icône Activer/désactiver le script de transformation pour configurer le script.
        La boîte de dialogue Configurer le script pour le champ source s’affiche.
      2. Cochez la case Activer le script de transformation dans la boîte de dialogue Configurer le script pour le champ source .
      3. Ajoutez ou modifiez le script.

        Par exemple, si votre champ d’entrée contient des valeurs telles que faible, moyenne ou élevée et que vous souhaitez mapper ces valeurs à des niveaux de fiabilité numériques (compris entre 0 et 100), vous pouvez utiliser le script de transformation pour convertir la valeur entrée et la mapper au champ de confiance de l’observable.

        Script de transformation de mappage de champ TISC
      4. Sélectionnez Enregistrer pour enregistrer le script afin d’obtenir la valeur cible mise à jour.
      5. Fermez la boîte de dialogue Configurer le script pour le champ source et passez à l’étape suivante.
    16. Sélectionnez Suivant pour prévisualiser les mappages de champs dans la section Aperçu .
      TISC : prévisualiser les données d’aperçu de mappage de champ.
    17. Prévisualisez l’exemple de mappage de champs et sélectionnez Enregistrer.
      Un message de confirmation s’affiche et indique que le mappage de champ a bien été enregistré.
      Dans le cadre du mappage d’exemples de champs, l’application identifie automatiquement le type d’observable (par exemple, adresse IP v4, etc.) que l’utilisateur a mappé à partir des exemples de données. Ce mécanisme rationalise le processus de mappage et garantit que les types d’observables appropriés sont affectés en fonction de l’entrée.
      Important :
      Exécution d’intégration de mappage de champ : toute exécution d’intégration effectuée pour ce type de flux utilisera la configuration de mappage de champ enregistrée. Cela garantit que les données entrantes sont systématiquement analysées et mappées aux attributs observables corrects en fonction de la structure définie lors de la configuration.
      Remarque :
      Sélectionnez Modifier le mappage de champ pour modifier et apporter les changements nécessaires au mappage de champ si nécessaire. Un message d’alerte s’affiche pour confirmer si vous souhaitez poursuivre la modification. Confirmez l’invite et sélectionnez Oui pour continuer. Apportez les modifications nécessaires aux mappages de champs à l’aide des exemples de données mis à jour et enregistrez les modifications.

      Toutes les modifications apportées au mappage de champ seront appliquées aux futures exécutions d’intégration pour ce flux.

      Vérifiez toujours les exemples de données après les changements pour vous assurer que l’analyse est correcte avant d’exécuter l’intégration.