Incidents de sécurité créés à partir d'événements et d'alertes

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Au fur et à mesure que les événements sont importés à partir d’outils de surveillance des alertes, ils sont d’abord traités et Event Management regroupés en alertes. Ces alertes peuvent être utilisées pour créer des incidents de sécurité basés sur des règles d’alerte personnalisables ou examinées manuellement pour sélectionner ces alertes à examiner en tant qu’incident de sécurité.

    Vous trouverez un exemple de règle d’alerte appelée Créer des incidents de sécurité à partir d’alertes critiques dans le Règles d'alerte module de l’application Event Management . Cette règle d’alerte crée automatiquement des incidents de sécurité lorsque des événements critiques liés à la sécurité sont reçus depuis ou depuis ServiceNow des applications de surveillance tierces. Une fois l’incident de sécurité créé, il est mis à jour à mesure que de nouveaux événements sont reçus. Vous pouvez modifier le modèle de tâche dans la règle d’alerte pour changer les valeurs initiales de l’incident de sécurité créé par cette règle d’alerte. Pour gérer chaque variété distincte d’incidents de sécurité que vous souhaitez créer, vous pouvez définir d’autres règles d’alerte avec des conditions différentes.

    Si vous êtes un utilisateur disposant du rôle d’administrateur de sécurité, vous pouvez également créer manuellement un incident de sécurité en cliquant sur le bouton Créer un incident de sécurité à partir d’une alerte suspecte.

    Il est important que les événements reçus d’outils externes incluent les informations suivantes :
    • Le nœud défini sur le nom, l’adresse IP ou l’sys_id du CI qui devient la ressource affectée.
    • La classification des événements est définie sur Sécurité pour les distinguer des autres événements informatiques.
    • Description de l’événement, qui remplit la description de l’incident de sécurité.
    • Les informations supplémentaires peuvent inclure toutes les informations supplémentaires qui ne rentrent pas dans les champs répertoriés précédemment ou d’autres champs d’événement, tels que la catégorie, les vecteurs d’attaque, l’URL de retour ou l’ID de corrélation. Le format est une chaîne qui répertorie les noms de champs ainsi que leurs valeurs, à l’aide du format JSON suivant :
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Remarque :
    Pour chaque paire de champ et de valeur, si le champ dans l’incident de sécurité où le nom de colonne correspond au fieldName est vide, il est défini sur fieldValue. Si le champ de l’incident de sécurité n’est pas vide, il n’est pas modifié. Dans les deux cas, l’événement et tous les champs et valeurs codés dans les informations supplémentaires sont enregistrés dans une entrée de notes de travail décrivant l’événement. Si rien ne change dans l’incident de sécurité, une entrée de note de travail n’est pas créée. Tous les champs d’un incident de sécurité, y compris les champs personnalisés que vous ajoutez à la table, peuvent être définis.