Créer et nommer un profil d’événement
Créez un profil d’événement dans votre ServiceNow AI Platform instance et déterminez quelles Splunk alertes créent des incidents de sécurité.
Avant de commencer
Rôle requis : sn_si.ingestion_profile_admin
Pourquoi et quand exécuter cette tâche
Avant ServiceNow AI Platform Réponse aux incidents de sécurité que des incidents de sécurité (SIR) ne soient créés à partir d’alertes ingérées, les valeurs de champ des alertes sont affichées sur une mise en page d’un ServiceNow AI Platform incident de sécurité afin que vous puissiez prévisualiser le mode d’affichage de l’incident de sécurité réel.
Du point de vue de l’intégration, à l’aide des API disponibles, Splunk les événements sont transmis individuellement et manuellement en tant qu’événements discrets, ou ils sont combinés en alertes déclenchées qui sont automatiquement ingérées dans l’environnement Opérations de sécurité de votre ServiceNow AI Platform instance. Les workflows d’intégration ingèrent différents types d’alertes, telles que les tentatives d’accès non autorisé et les programmes malveillants, par exemple.
Ces alertes sont ingérées en fonction des profils que vous configurez dans l’environnement Opérations de sécurité de votre instance. Toutes les alertes sont initialement ingérées pour un type d’alerte configuré dans un profil. Les alertes ingérées peuvent ensuite être filtrées davantage pour spécifier quelles alertes créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les alertes identifiées comme à haut risque. Avant qu’un profil ne soit activé et qu’il crée des incidents de sécurité à partir des alertes ingérées, les valeurs de champ individuelles des alertes filtrées sont mappées aux champs correspondants sur une mise en page d’incident de sécurité pour un aperçu.
Les noms d’alerte des profils d’événements dans votre ServiceNow AI Platform instance doivent être uniques et ne peuvent être mappés qu’à un seul profil d’événement actif à la fois. Il s’agit des noms des alertes déclenchées que vous avez configurés dans votre Splunk service dans le cadre de la configuration de l’intégration. Pour plus d’informations sur la configuration des alertes dans votre Splunk Enterprise environnement, reportez-vous à la section Enregistrer les recherches dans votre Splunk Enterprise console pour l’intégration Splunk Enterprise Event Ingestion.
L’intégration ServiceNow AI Platform ingère des alertes spécifiques à l’aide des workflows de l’intégration. Toutes les alertes qui répondent aux critères de sélection dans votre Splunk console d’entreprise sont initialement ingérées dans votre ServiceNow AI Platform instance.
Un profil dans votre ServiceNow AI Platform est une encapsulation d’une Splunk alerte dans votre Splunk console d’entreprise. Il existe une relation un-à-un entre les alertes ingérées avec un profil et les connexions à votre Splunk console d’entreprise : une alerte pour une connexion. Il existe une seule connexion https vers une tête de recherche dans votre Splunk Enterprise console. Plusieurs alertes peuvent provenir d’une seule tête de recherche. Si vous vous connectez à plusieurs têtes de recherche dans votre Splunk Enterprise console, vous devez créer plusieurs profils dans votre ServiceNow AI Platform instance pour ingérer ces alertes.
Étapes pour créer des profils pour l’ingestion d’alerte planifiée
Procédure
-
Renseignez les champs.
Un exemple de formulaire rempli suit la table.
Champ Description Nom Nom unique pour le profil. Si les noms ne sont pas uniques, les noms de profil en double ne sont pas enregistrés. Les noms de profil dans votre ServiceNow AI Platform instance doivent être uniques.
Actives La case est décochée par défaut. L’option Actif est désactivée et n’est pas disponible à la sélection tant que vous n’avez pas terminé toutes les étapes de configuration du profil et cliqué sur Terminer.
Type Sélectionnez le type de profil dans la liste de choix. - Ingestion d’alerte planifiée : ce type de profil prend en charge les alertes déclenchées qui sont ingérées selon un calendrier que vous configurez. Renseignez les champs et cliquez sur Continuer pour passer à l’étape de sélection des alertes du profil.
- Transfert manuel d’événements : ce type de profil prend en charge les événements individuels qui sont transférés manuellement à partir de votre Splunk Enterprise console sur demande. Consultez les étapes suivantes pour remplir le formulaire pour ces types de profils.
Type de source Splunk Serveur ou extrémité de recherche que vous avez configuré pour ingérer des alertes. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’alertes que vous prévoyez d’ingérer pour le profil. Vous devez saisir une valeur. Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent les mêmes conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
(Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils. La figure suivante est un exemple de formulaire rempli pour une alerte planifiée.
-
Pour créer un profil qui prend en charge le transfert manuel d’événements, procédez comme suit.
Pour les événements que vous transférez sur demande à partir de votre Splunk console d’entreprise, vous pouvez baser le mappage de champs individuels sur n’importe quel profil existant. Vous pouvez également créer une nouvelle grille de mappage pour les données de pièce jointe exportées. Les événements que vous transférez manuellement ne sont pas planifiés dans le profil d’événement.
-
Dans le champ Option de mappage qui s’affiche, à partir de la liste de choix, choisissez une option de mappage pour continuer.
Reportez-vous aux figures et tableaux suivants pour plus d’informations sur les options de mappage disponibles dans la liste de choix Options de mappage.
Figure 1. Créer une option de mappage de champ Tableau 1. Option Créer un mappage de champs Option ou champ Description Créer une option de mappage de champs Nouveau mappage de champs pour votre événement. Si vous n’avez pas de mappage de champs existant similaire au profil que vous créez, sélectionnez cette option pour créer une nouvelle carte.
Profil par défaut Profil de transfert d’événements par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée).
Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est le seul profil actif et utilisé pour chaque Splunk mappage de champs d’événement à un SIR incident de sécurité. Un profil s’adapte à tous les événements transférés.
Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Type de source Splunk serveur.
Ce champ n’est pas disponible si l’option de profil par défaut est activée.
Le cas échéant, l’option Type de source permet un mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction du type de Splunk source.
Si vous souhaitez gérer les événements de journalisation de pare-feu différemment des événements de détection de point de terminaison et qu’ils ont des types de sources différents Splunk , vous pouvez créer différents profils d’événements en fonction des types de sources pour satisfaire à cette exigence.
Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut. Si vous avez créé un grand nombre de profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
(Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils. Pour un profil avec un nouveau mappage de champs, vérifiez que vous avez saisi une valeur dans le champ Type de source et cliquez sur Continuer pour passer à l’étape de mappage de la configuration.
Pour un profil avec un mappage de champs existant, reportez-vous à la figure et au tableau suivants pour plus d’informations.
Figure 2. Sélectionner un profil existant pour l’option de mappage de champ Tableau 2. Sélectionner un profil existant pour l’option de mappage de champ Option ou champ Description Sélectionner un profil existant pour le mappage de champs Un mappage de champs existant pour votre événement. Le champ Copier à partir du profil s’affiche.
Suivez ces étapes pour copier un mappage de champs existant pour ce profil.
- À gauche du champ Copier à partir du profil qui s’affiche, cliquez sur l’icône de recherche.
- Dans la liste Profils d’événements Splunk qui s’affiche, cliquez sur le nom du profil qui contient la carte que vous souhaitez copier.
Le nom du profil s’affiche dans le champ Copier à partir du profil.
Profil par défaut Profil de transfert d’événements par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée).
Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est le seul profil actif. Il est utilisé pour le mappage de chaque Splunk champ d’événement à un SIR incident de sécurité. Un profil s’adapte à tous les événements transférés.
Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Type de source Splunk serveur.
Ce champ n’est pas disponible si l’option de profil par défaut est sélectionnée.
Le cas échéant, l’option Type de source permet un mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction du type de Splunk source.
Si vous souhaitez gérer les événements de journalisation de pare-feu différemment des événements de détection de point de terminaison et qu’ils ont des types de sources différents Splunk , vous pouvez créer différents profils d’événements en fonction des types de sources pour satisfaire à cette exigence.
Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
(Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils. En bas du formulaire de sélection d’un mappage existant pour votre profil, cliquez sur Terminer pour terminer la configuration du profil.
-
Dans le champ Option de mappage qui s’affiche, à partir de la liste de choix, choisissez une option de mappage pour continuer.
Que faire ensuite
Pour les profils des alertes planifiées, l’étape suivante consiste à sélectionner les alertes pour l’ingestion automatique.