Transformation freigegebener Daten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Die Plugins Security Incident Response, Vulnerability Responseund Threat Intelligence verwenden gemeinsame Funktionen für Beziehungsdaten und Duplizierungsregeln, die zum Importieren externer und interner Informationen in Security Operationsverwendet werden.

    E-Mail-Analyse, Duplizierungsregelnund Feldzuordnung nehmen Eingabedaten (eine E-Mail, eine JSON- oder XML-Datei oder einen Datensatz) und wandeln diese Daten in das richtige Format um, um einen neuen Datensatz zu erstellen. Jede dieser Funktionen ruft Daten auf ihre eigene Weise ab, sie werden jedoch mit vielen der gleichen Prozesse in den neuen Datensatz umgewandelt.

    Beziehungsdaten

    Wenn Sie einer zugehörigen Liste Informationen hinzufügen (z. B. ein zugeordnetes erkennbares Element in einem Security Incident), können Sie einen Beziehungsdatensatz erstellen, der aus einer m2m-Tabelle besteht. Manchmal gibt es zusätzliche Daten in diesem Beziehungsdatensatz, die festgelegt werden müssen. Zum Beispiel, wenn ein erkennbares Element eine Quell-IP ist (im Gegensatz zu einer Ziel-IP). Diese Informationen werden in das FeldBeziehungsdaten im Formular „Feldtransformation“ eingefügt, das von der E- Mail -Analyse verwendet wird, oder in eine zugehörige Liste „ Feldzuordnungsfelder “ im Formular „ Feldzuordnung “.

    Das Feld „ Beziehungsdaten“ ist normalerweise leer. Es wird am häufigsten für IP-Adressen für erkennbare Elemente in der E-Mail-Analyseverwendet.

    Sie können Daten aus einem beliebigen ServiceNow -Datensatz in einen anderen ServiceNow -Datensatz mithilfe von Feldzuordnungsfeldern in der Feldzuordnungsfunktion umwandeln. Zum Beispiel, um Daten aus einem Incident in einen Security Incident oder einen Security Incident in einen PRB umzuwandeln.

    Duplizierungsregeln für Security Operations

    Verwenden Sie Duplizierungsregeln, um doppelte Datensätze für Sicherheit, Schwachstelle, IoCs usw. zu verarbeiten.

    Duplizierungsregeln haben zwei Zwecke. Sie verhindern, dass zu viele doppelte Datensätze erstellt werden, und geben an, welche Felder im Datensatz aktualisiert werden, wenn ein Duplikat erkannt wird. Es wird nur nach aktiven Duplikaten gesucht. Wenn der Datensatz nicht aktiv ist, z. B. wenn der Incident geschlossen wird, wird jedes neue identische Problem zu einem neuen Incident.

    Duplizierungsregeln werden von E-Mail-Analyse, Feldzuordnungund Ergänzungsdatenzuordnungverwendet.