Mapear campos de detecção

  • Versão de lançamento: Zurich
  • Atualizado 17 de jun. de 2026
  • 7 min. de leitura

    • Mapeie os campos de detecção do CrowdStrike Next-Gen individuais para os campos no SIR incidente de segurança para que você possa criar detecções com os dados mapeados.

    Antes de Iniciar

    Função necessária: sn_si.ingestion_profile_admin

    Nota:
    Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

    Procedimento

    1. Na página de mapeamento, na seção Mapeamento de campo CrowdStrike Next-Gen, selecione um dos métodos de ingestão de amostra.
      Tabela 1. Métodos de ingestão de amostra
      Campo Descrição
      Todos os campos de detecção e eventos padrão Use este método de ingestão para exibir a lista estática de todas as detecções e campos de evento. Este método contém somente nomes de campo padrão sem valores.

      Você pode usar essas informações para mapear com SIR campos.
      Recupere detecções recentes Use este método de ingestão para importar os dados de detecções e entidades mais recentes.

      Se a detecção CrowdStrike Next-Gen contiver vários alertas, o alerta mais antigo que faz parte da detecção será mostrado na seção de mapeamento. Os valores de campo de alerta de segurança mais antigos serão usados durante a ingestão.

      Você pode ingerir 5 detecções de amostra.

      Os valores do campo de detecção de amostra são preenchidos quando o perfil ingere as detecções de amostra. Você pode mapear essas detecções para Campos de destino do incidente SIR . Os campos e os valores de detecção aparecem como guias individuais.
    2. Para adicionar campos aos campos padrão exibidos no incidente de segurança, execute as seguintes ações:
      1. Na seção Campos de destino do incidente SIR, selecione Botão Mapear outro campo. Botão Mapear outro campo.
        Mostra uma lista de SIR campos, a partir dos quais você pode selecionar um campo para que um novo campo seja exibido.
      2. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.
        Nota:
        Vários observáveis podem ser exibidos no mesmo incidente de segurança. Por exemplo, o. Observável o campo pode ser mapeado várias vezes com valores diferentes. Da mesma forma, o Item de configuração e. Campos de anotações de trabalho suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, verá uma mensagem de erro informando que este campo não oferece suporte a vários valores. Da mesma forma, se um campo em um incidente de segurança tiver uma lista da qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não seja exibida na lista, o campo não será preenchido no incidente de segurança.
      3. Na seção Campos de detecção e evento, arraste e solte o campo para mapeá-lo para o novo campo.
      4. Quando você marca a caixa de seleção que corresponde a um campo, todas as mudanças novas ou atualizadas feitas no CrowdStrike atualizarão automaticamente os respectivos dados do incidente SIR com os novos dados do incidente.
        Nota:
        No sistema de base, a propriedade do sistema sn_sec_cs_ngsiem.detection_updates é definida por padrão como falsa para receber as atualizações do CrowdStrike Next- Gen relacionadas a novos alertas vinculados ao SIR.
        • Por padrão, os campos Usuários afetados, Itens de configuração e Observáveis são verificados. Sempre que houver novos observáveis ou itens de configuração associados, ou usuários afetados que são adicionados ao incidente, essas informações serão extraídas e preenchidas automaticamente nas respectivas listas relacionadas na Resposta a incidentes de segurança (SIR) durante esse intervalo de pesquisa.
        • Para quaisquer outros campos, você deve marcar a caixa de seleção que corresponde a um campo para quaisquer mudanças novas ou atualizadas feitas no registro de detecção do CrowdStrike no CrowdStrike. Isso atualizará automaticamente os respectivos dados do incidente SIR com os novos dados de detecção.
        Importante:
        A due diligence deve ser feita antes de selecionar esta funcionalidade, pois a substituição dos dados existentes pode resultar em dados instáveis para o analista trabalhar e qualquer outra automação definida até mesmo pelos valores de campo do incidente de segurança também pode ser afetada. Portanto, é muito importante fazer a due diligence antes de selecionar qualquer funcionalidade de substituição.
    3. Para remover um campo, use Botão RemoverBotão Remover item ao lado do campo Expressão de entrada na seção Campos de destino do incidente SIR.
    4. Para mapear um valor de campo da seção Campos de detecção e evento para um campo na seção Campos de destino do incidente SIR, use uma das seguintes ações:
      1. Arraste o nome do campo de detecção (por exemplo, id) e solte-o ao lado de um nome de campo na coluna Campos de destino do incidente SIR.

        Você pode corresponder qualquer valor da seção Campos de detecção e evento a um campo na seção Campos de destino do incidente SIR. Os campos são codificados por cores para que você não ignore ou duplique os campos de detecção no processo de mapeamento. Campos azuis claros indicam que um campo de detecção ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar campos de detecção de entrada a mais de um campo em um incidente de segurança. Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Dessa forma, você pode visualizar quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de incidente importante restante permanece não mapeada.

      2. Você pode adicionar uma combinação de texto e campo.
        Por exemplo, O nome da detecção é . Aqui O nome da detecção é pode ser inserido manualmente enquanto (Detections: Nome É mapeado na seção Campos de detecção e evento.
      3. Você pode inserir e mapear manualmente diretamente uma detecção de origem ou campos de eventos para um campo de destino.
        • Para mapear manualmente um campo de detecção de origem, use o⁠formato "nome do campo". Por exemplo, para mapear uma severidade de campo de detecção, o formato é (Detecções: Severidade) .
        • Para adicionar manualmente campos de eventos de origem, use ⁠nomes de eventos: campos de eventos formato. Por exemplo, para mapear campos de eventos Descrição de eventos Alerta de segurança, o formato é Eventos: Descrição .
      Esta integração classifica determinados subtipos observáveis. Quando você mapeia um campo CrowdStrike Next- Gen com o campo observável SIR, o. ServiceNow AI Platform classifica automaticamente o observável. Se você quiser mapear genericamente o Observable de entrada do CrowdStrike Next- Gen para o tipo de observável em SIR, Em seguida, arraste e solte o campo Detecção e evento no campo Observável. No entanto, se você souber do tipo de observável para o observável de próxima geração do CrowdStrike de entrada em SIR, em seguida, mapeie especificamente para SIR Campo de tipo de observável. Alguns exemplos de tipos de observáveis específicos em SIR Incluir Observable (nome do domínio), Observable (endereço de e-mail), Observable (endereço IP (V4)) e Observable (nome do host).

      Se os campos de entrada do CrowdStrike Next- Gen contiverem algum MITRE-ATT&CK e mapeie-as para MITRE-ATT&CK Campo de técnica. Certifique-se de que o campo CrowdStrike Next- Gen de entrada contenha MITRE-ATT&CK ID da técnica ou nome da técnica.

      Às vezes, os valores do campo de detecção no CrowdStrike Next- Gen podem não ser traduzidos diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos.

    5. Para formatar uma tradução de campo para um novo campo de uma detecção CrowdStrike Next- Gen para corresponder a um valor de campo em um Incidente de segurança, selecione Clique aqui link no Campos de destino do incidente SIR cabeçalho.
    6. Para modificar os campos compatíveis com a tradução de campo, selecione Botão de formato de campoícone de tradução de campo de formato de script.
      Os campos compatíveis com a tradução de campo são Usuário afetado , Item de configuração e Prioridade . Por exemplo, clique em Botão de formato de campoÍcone ao lado da Categoria. O editor de script CrowdStrike Next- Gen Field Translation é aberto.
    7. Insira as mudanças no script e selecione Atualização Para salvar as mudanças e retornar à página Mapeamento.
      Por exemplo, para Categoria, defina o seguinte no editor de scripts:
      "<Incoming CrowdStrike Detection Field Value>" : "<Category to assign to the Security Incident>".
      Este mapeamento garante que um perfil use somente categorias configuradas.
    8. Continue seu mapeamento adicionando ou removendo valores de campo.
      Você pode usar os mesmos valores de campo no construtor Condições de geração de detecção para definir critérios adicionais que uma detecção de entrada deve atender para criar um incidente de segurança.
    9. Para ir para a seção Filtragem e agregação, selecione Continuar .

    O que Fazer Depois

    Defina e defina condições de filtro para que você possa especificar quais detecções devem criar incidentes de segurança. Você pode usar os mesmos valores de campo (definidos na seção Mapeamento) no construtor Condições de geração de detecção (na seção Filtragem e agregação) para definir critérios adicionais que uma detecção de entrada deve atender para criar um incidente de segurança.