Ordnen Sie Erkennungsfelder zu

  • Freigeben Version: Zurich
  • Aktualisiert 17. Juni 2026
  • 6 Minuten Lesedauer

    • Ordnen Sie die einzelnen CrowdStrike Next-Gen-Erkennungsfelder den Feldern im zu SIR Security Incident, damit Sie Erkennungen mit den zugeordneten Daten erstellen können.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Prozedur

    1. Wählen Sie auf der Zuordnungsseite im Abschnitt CrowdStrike Next-Gen-Feldzuordnung eine der Beispielerfassungsmethoden aus.
      Tabelle : 1. Beispiel für Erfassungsmethoden
      Feld Beschreibung
      Alle standardmäßigen Erkennungs- und Ereignisfelder Verwenden Sie diese Erfassungsmethode, um die statische Liste aller Erkennungen und Ereignisfelder anzuzeigen. Diese Methode enthält nur Standardfeldnamen ohne Werte.

      Sie können diese Informationen verwenden, um eine Zuordnung zu vorzunehmen SIR Felder.
      Ruft Aktuelle Erkennungen Ab Verwenden Sie diese Erfassungsmethode, um die neuesten Erkennungs- und Entitätsdaten zu importieren.

      Wenn die CrowdStrike Next-Gen-Erkennung mehrere Warnungen enthält, wird die früheste Warnung, die Teil der Erkennung ist, im Zuordnungsabschnitt angezeigt. Auch während der Erfassung werden die frühesten Feldwerte für Sicherheitswarnungen verwendet.

      Sie können 5 Beispielerkennungen erfassen.

      Die Werte des Beispielerkennungsfelds werden ausgefüllt, wenn das Profil die Beispielerkennungen erfasst. Sie können diese Erkennungen dem zuordnen SIR-Incident-Zielfelder . Die Erkennungsfelder und -Werte werden als einzelne Registerkarten angezeigt.
    2. Führen Sie die folgenden Aktionen aus, um den Standardfeldern, die im Security Incident angezeigt werden, Felder hinzuzufügen:
      1. Wählen Sie im Abschnitt SIR Incident-Zielfelder die aus Schaltfläche „weiteres Feld zuordnen“. Schaltfläche „weiteres Feld zuordnen“.
        Es wird eine Liste von angezeigt SIR Felder, aus denen Sie ein Feld auswählen können, aus dem ein neues Feld angezeigt werden soll.
      2. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie dann ein Feld aus.
        Hinweis:
        Mehrere erkennbare Elemente können für denselben Security Incident angezeigt werden. Zum Beispiel die Erkennbares Element Das Feld kann mehrmals verschiedenen Werten zugeordnet werden. Ebenso wird Konfigurationselement Und Felder für Arbeitsnotizen Unterstützt mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird eine Fehlermeldung angezeigt, dass dieses Feld nicht mehrere Werte unterstützt. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      3. Ziehen Sie Ihr Feld im Abschnitt „Erkennungs- und Ereignisfelder“ per Drag-and-Drop, um es Ihrem neuen Feld zuzuordnen.
      4. Wenn Sie das Kontrollkästchen aktivieren, das einem Feld entspricht, werden bei allen neuen oder aktualisierten Änderungen, die in CrowdStrike vorgenommen werden, die entsprechenden SIR-Incident-Daten automatisch mit den neuen Incident-Daten aktualisiert.
        Hinweis:
        Im Basissystem ist die Systemeigenschaft sn_sec_cs_ngsiem.detection_updates standardmäßig auf falsch festgelegt, um die CrowdStrike Next Gen-Updates im Zusammenhang mit neuen Warnungen zu erhalten, die mit SIR verknüpft sind.
        • Standardmäßig sind die Felder Betroffene Anwender, Konfigurationselemente und erkennbare Elemente aktiviert. Dies bedeutet, dass immer dann, wenn neue erkennbare Elemente oder zugehörige Konfigurationselemente oder betroffene Anwender dem Incident hinzugefügt werden, diese Informationen während dieses Abfrageintervalls automatisch extrahiert und in den entsprechenden zugehörigen Listen in der Security Incident Response (SIR) ausgefüllt werden.
        • Für alle anderen Felder müssen Sie das Kontrollkästchen aktivieren, das einem Feld für alle neuen oder aktualisierten Änderungen entspricht, die im CrowdStrike-Erkennungsdatensatz in CrowdStrike vorgenommen wurden. Dadurch werden die entsprechenden SIR-Incident-Daten automatisch mit den neuen Erkennungsdaten aktualisiert.
        Wichtig:
        Vor der Auswahl dieser Funktionalität muss eine Sorgfaltspflicht durchgeführt werden, da das Überschreiben der vorhandenen Daten zu instabilen Daten führen kann, mit denen der Analyst arbeiten kann, und jede andere Automatisierung, die auch durch die Feldwerte des Security Incident festgelegt wird, kann ebenfalls betroffen sein. Daher ist es sehr wichtig, die Sorgfaltspflicht durchzuführen, bevor Sie eine Überschreibungsfunktion auswählen.
    3. Verwenden Sie zum Entfernen eines Felds Schaltfläche „Entfernen“Schaltfläche „Element entfernen“ neben dem Eingabeausdrucksfeld im Abschnitt „SIR-Incident-Zielfelder“.
    4. Um einen Feldwert aus dem Abschnitt „Erkennungs- und Ereignisfelder“ einem Feld im Abschnitt „SIR-Incident-Zielfelder“ zuzuordnen, verwenden Sie eine der folgenden Aktionen:
      1. Ziehen Sie den Erkennungsfeldnamen (z. B. ID), und legen Sie ihn neben einem Feldnamen in der Spalte SIR-Incident-Zielfelder ab.

        Sie können einen beliebigen Wert aus dem Abschnitt „Erkennungs- und Ereignisfelder“ mit einem Feld im Abschnitt „SIR-Incident-Zielfelder“ abgleichen. Felder sind farbcodiert, damit Sie Erkennungsfelder im Zuordnungsprozess nicht übersehen oder duplizieren. Hellblaue Felder geben an, dass noch kein Erkennungsfeld ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie eingehende Erkennungsfelder mit mehr als einem Feld in einem Security Incident verknüpfen. Ein graues Feld gibt an, dass ein Feld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Auf diese Weise können Sie visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Incident-Informationen nicht zugeordnet sind.

      2. Sie können eine Kombination aus Text und Feld hinzufügen.
        Beispiel: Erkennungsname ist ${Erkennungen: Name}$ . Hier Erkennungsname ist Kann während manuell eingegeben werden ${Erkennungen: Name}$ Wird im Abschnitt „Erkennungs- und Ereignisfelder“ zugeordnet.
      3. Sie können Quellerkennungs- oder Ereignisfelder direkt manuell eingeben und einem Zielfeld zuordnen.
        • Um ein Quellenerkennungsfeld manuell zuzuordnen, verwenden Sie das⁠Format $ {field Name}$. Um beispielsweise einen Schweregrad eines Erkennungsfelds zuzuordnen, lautet das Format ${Erkennungen: Schweregrad}$ .
        • Verwenden Sie zum manuellen Hinzufügen von Quellereignisfeldern $⁠{Ereignisnamen: Ereignisfelder}$ Format. Zum Zuordnen von Ereignisfeldern Beschreibung von Ereignissen Sicherheitswarnung lautet das Format ${Events: Description}$ .
      Diese Integration klassifiziert bestimmte Untertypen erkennbarer Elemente. Wenn Sie ein CrowdStrike Next- Gen-Feld dem SIR-erkennbaren Feld zuordnen, der ServiceNow AI Platform Klassifiziert das erkennbare Element automatisch. Wenn Sie das eingehende erkennbare CrowdStrike Next- Gen-Element generisch dem erkennbaren Element zuordnen möchten, geben Sie in ein SIR, Ziehen Sie dann das Feld Erkennung und Ereignis per Drag-and-Drop in das Feld erkennbares Element. Wenn Ihnen jedoch der Typ des erkennbaren Elements für das eingehende erkennbare CrowdStrike Next- Gen-Element in bekannt ist SIR, Und ordnen Sie dann speziell dem zu SIR Typfeld des erkennbaren Elements. Einige Beispiele für bestimmte Typen erkennbarer Elemente in SIR Schließen Sie erkennbares Element (Domänenname), erkennbares Element (E-Mail-Adresse), erkennbares Element (IP-Adresse (V4)) und erkennbares Element (Hostname) ein.

      Wenn Ihre eingehenden CrowdStrike Next-Gen-Felder irgendwelche enthalten MITRE-ATT&CK Informationen, ordnen Sie sie dann zu MITRE-ATT&CK Technikfeld. Stellen Sie sicher, dass das Feld Incoming CrowdStrike Next- Gen. enthält MITRE-ATT&CK Technik-ID oder Technikname.

      Manchmal werden Erkennungsfeldwerte in CrowdStrike Next- Gen möglicherweise nicht direkt in die Felder im SIR Security Incident übersetzt. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind.

    5. Um eine Feldübersetzung für ein neues Feld aus einer CrowdStrike Next Gen-Erkennung so zu formatieren, dass sie einem Feldwert in einem Security Incident entspricht, wählen Sie aus Klicken Sie hier Link in SIR-Incident-Zielfelder Header.
    6. Um die Felder zu ändern, die die Feldübersetzung unterstützen, wählen Sie aus Schaltfläche „Feldformat“Symbol für Übersetzung des Skriptformatfelds.
      Die Felder, die die Feldübersetzung unterstützen, sind Betroffener Anwender , Konfigurationselement , Und Priorität . Klicken Sie beispielsweise auf Schaltfläche „Feldformat“Symbol neben der Kategorie. Der Skripteditor CrowdStrike Next- Gen Field Translation wird geöffnet.
    7. Geben Sie alle Änderungen am Skript ein, und wählen Sie aus Aktualisieren Um die Änderungen zu speichern und zur Zuordnungsseite zurückzukehren.
      Definieren Sie beispielsweise für Kategorie Folgendes im Skript-Editor:
      "<Incoming CrowdStrike Detection Field Value>" : "<Category to assign to the Security Incident>".
      Diese Zuordnung stellt sicher, dass ein Profil nur konfigurierte Kategorien verwendet.
    8. Setzen Sie Ihre Zuordnung fort, indem Sie Feldwerte hinzufügen oder entfernen.
      Sie können dieselben Feldwerte im Generator für Erkennungsgenerierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Erkennung erfüllen muss, um einen Security Incident zu erstellen.
    9. Um zum Abschnitt Filtern und Zusammenfassung zu wechseln, wählen Sie aus Fahren Sie Fort .

    Nächste Maßnahme

    Definieren und legen Sie Filterbedingungen fest, damit Sie angeben können, welche Erkennungen Security Incidents erstellen sollen. Sie können dieselben Feldwerte (definiert im Abschnitt „Zuordnung“) im Generator für Erkennungsgenerierungsbedingungen (im Abschnitt „Filterung und Zusammenfassung“) verwenden, um zusätzliche Kriterien zu definieren, die eine eingehende Erkennung erfüllen muss, um einen Security Incident zu erstellen.