Définir des critères de filtre et d’agrégation

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Définissez les conditions de filtre et d’agrégation pour contrôler quels Microsoft Defender incidents génèrent de nouveaux incidents de sécurité et si les incidents entrants doivent être fusionnés avec les incidents existants. Ces conditions garantissent un regroupement précis des incidents et empêchent les doublons inutiles.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.ingestion_profile_admin

    Pourquoi et quand exécuter cette tâche

    Le filtrage vous aide à isoler les incidents de sécurité et à limiter le nombre d’incidents de sécurité que vous créez. Si vous définissez des critères de filtrage supplémentaires, seuls les incidents requis sont ingérés sans avoir à modifier la requête ou la configuration de l’incident déclenché.

    Les conditions d’agrégation définissent des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant à un incident de sécurité ouvert au lieu d’en créer un.

    Procédure

    1. Si vous ne continuez pas à partir de la section précédente des critères de mappage, accédez au profil que vous définissez.
      1. Accédez à la Tous > Intégration de Microsoft Defender > Profils d'incidents Defender.
      2. Sélectionnez le profil que vous continuez à définir.
      3. Sélectionnez Filtrage et agrégation dans la barre de progression.
    2. Cochez la case Filtre basé sur les conditions pour définir les critères qu’un incident entrant doit satisfaire pour qu’un incident de Microsoft Defender sécurité soit créé.
    3. Dans le champ de recherche Conditions de filtre , spécifiez les conditions de filtre qui doivent être remplies.

      Ces conditions doivent correspondre aux champs affichés dans la section Exemple d’ingestion d’incident Microsoft Defender pour l’incident que vous avez ingéré. Ces champs sont dynamiques et changent en fonction de l’incident que vous ingérez. Les critères que vous saisissez sont sensibles à la casse. Vérifiez que les critères que vous définissez correspondent aux valeurs de l’incident.

      Utilisez le incident_id de condition de filtre pour les champs suivants à valeurs multiples :
      • Gravité
      • LastModifiedBy
      • Dernière mise à jour DateTime
      • Mots clés

      Étant donné que la condition de filtre ne peut récupérer que des chaînes, vous devez utiliser la condition de filtre incident_id pour les champs précédents afin de confirmer que les données sont filtrées correctement.

    4. Sélectionnez ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être vérifiées.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
    5. Pour définir une deuxième condition de filtre, sélectionnez Nouveau critère.

      Définir des critères de filtre et d’agrégation

    6. Cochez la case Conditions d’agrégation pour définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant à un incident de sécurité ouvert au lieu d’en créer un.
    7. Dans le champ Champs d’incident avec valeurs correspondantes , saisissez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre ServiceNow AI Platform instance.
      Toutes les valeurs de champ que vous avez sélectionnées dans le champ d’entrée de sélection multiple doivent correspondre afin que le critère d’agrégation soit rempli et que cet incident entrant puisse être ajouté à un incident de sécurité existant. Cette sélection implique qu’il s’agit d’une condition ET où des champs, tels que des observables et des éléments de configuration qui peuvent avoir plusieurs valeurs de champ, leur sont mappés. Si seul un sous-ensemble des valeurs correspond, les conditions d’agrégation de Microsoft Incident ne sont pas remplies et un nouvel incident de sécurité est créé.
    8. Sélectionnez Ajouter un nouveau critère pour ajouter plusieurs conditions de correspondance de champ.
      L’agrégation se produit si l’une des conditions de champ de sélection multiple que vous définissez est remplie. Cette sélection implique la condition OU .
    9. Sélectionnez Enregistrer la note de travail pour le nouvel incident afin de mettre à jour la note de travail d’un nouvel incident lorsqu’il est ajouté à un incident de sécurité.

      La note de travail consigne la création d’un nouvel incident et inclut un lien vers ses détails. La note de travail du journal met également à jour les détails supplémentaires que vous ajoutez au champ Note de travail dans votre section de mappage.

    10. Sélectionnez Continuer.

    Que faire ensuite

    Définissez un calendrier pour récupérer les données d’incident et les incidents ingérés qui correspondent aux critères du profil. Pour plus d'informations, consultez Planifier la récupération de l’incident.