Créer et nommer un profil d’événement

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 9 minutes de lecture

    • Créez un profil d’événement dans votre ServiceNow AI Platform instance et déterminez quelles Splunk alertes créent des incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Avant ServiceNow AI Platform Réponse aux incidents de sécurité que des incidents de sécurité (SIR) ne soient créés à partir d’alertes ingérées, les valeurs de champ des alertes sont affichées sur une mise en page d’un ServiceNow AI Platform incident de sécurité afin que vous puissiez prévisualiser le mode d’affichage de l’incident de sécurité réel.

    Du point de vue de l’intégration, à l’aide des API disponibles, Splunk les événements sont transmis individuellement et manuellement en tant qu’événements discrets, ou ils sont combinés en alertes déclenchées qui sont automatiquement ingérées dans l’environnement Opérations de sécurité de votre ServiceNow AI Platform instance. Les workflows d’intégration ingèrent différents types d’alertes, telles que les tentatives d’accès non autorisé et les programmes malveillants, par exemple.

    Ces alertes sont ingérées en fonction des profils que vous configurez dans l’environnement Opérations de sécurité de votre instance. Toutes les alertes sont initialement ingérées pour un type d’alerte configuré dans un profil. Les alertes ingérées peuvent ensuite être filtrées davantage pour spécifier quelles alertes créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les alertes identifiées comme à haut risque. Avant qu’un profil ne soit activé et qu’il crée des incidents de sécurité à partir des alertes ingérées, les valeurs de champ individuelles des alertes filtrées sont mappées aux champs correspondants sur une mise en page d’incident de sécurité pour un aperçu.

    Les noms d’alerte des profils d’événements dans votre ServiceNow AI Platform instance doivent être uniques et ne peuvent être mappés qu’à un seul profil d’événement actif à la fois. Il s’agit des noms des alertes déclenchées que vous avez configurés dans votre Splunk service dans le cadre de la configuration de l’intégration. Pour plus d’informations sur la configuration des alertes dans votre Splunk Enterprise environnement, reportez-vous à la section Enregistrer les recherches dans votre Splunk Enterprise console pour l’intégration Splunk Enterprise Event Ingestion.

    L’intégration ServiceNow AI Platform ingère des alertes spécifiques à l’aide des workflows de l’intégration. Toutes les alertes qui répondent aux critères de sélection dans votre Splunk console d’entreprise sont initialement ingérées dans votre ServiceNow AI Platform instance.

    Un profil dans votre ServiceNow AI Platform est une encapsulation d’une Splunk alerte dans votre Splunk console d’entreprise. Il existe une relation un-à-un entre les alertes ingérées avec un profil et les connexions à votre Splunk console d’entreprise : une alerte pour une connexion. Il existe une seule connexion https vers une tête de recherche dans votre Splunk Enterprise console. Plusieurs alertes peuvent provenir d’une seule tête de recherche. Si vous vous connectez à plusieurs têtes de recherche dans votre Splunk Enterprise console, vous devez créer plusieurs profils dans votre ServiceNow AI Platform instance pour ingérer ces alertes.

    Étapes pour créer des profils pour l’ingestion d’alerte planifiée

    Procédure

    1. Pour créer un profil d’événement pour une alerte, accédez à votre ServiceNow AI Platform instance Intégration Splunk ES > Profils d'événements Splunk ES.
    2. Si le formulaire Profil d’événement n’est Splunk pas affiché, cliquez sur Nom dans la barre de progression.
    3. Cliquez sur Nouveau.
    4. Renseignez les champs.

      Un exemple de formulaire rempli suit la table.

      Champ Description
      Nom Nom unique pour le profil. Si les noms ne sont pas uniques, les noms de profil en double ne sont pas enregistrés.

      Les noms de profil dans votre ServiceNow AI Platform instance doivent être uniques.
      Actives La case est décochée par défaut.

      L’option Actif est désactivée et n’est pas disponible à la sélection tant que vous n’avez pas terminé toutes les étapes de configuration du profil et cliqué sur Terminer.
      Type Sélectionnez le type de profil dans la liste de choix.
      • Ingestion d’alerte planifiée : ce type de profil prend en charge les alertes déclenchées qui sont ingérées selon un calendrier que vous configurez. Renseignez les champs et cliquez sur Continuer pour passer à l’étape de sélection des alertes du profil.
      • Transfert manuel d’événements : ce type de profil prend en charge les événements individuels qui sont transférés manuellement à partir de votre Splunk Enterprise console sur demande. Consultez les étapes suivantes pour remplir le formulaire pour ces types de profils.
      Type de source Splunk Serveur ou extrémité de recherche que vous avez configuré pour ingérer des alertes. Si vous avez configuré plusieurs Splunk serveurs, sélectionnez le serveur approprié pour les types d’alertes que vous prévoyez d’ingérer pour le profil. Vous devez saisir une valeur.
      Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut.

      Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent les mêmes conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
      (Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils.

      La figure suivante est un exemple de formulaire rempli pour une alerte planifiée.

      Formulaire de nom de profil rempli pour une alerte planifiée.
    5. Pour un profil avec une alerte planifiée, choisissez une option pour poursuivre la configuration du profil.
      OptionDescription
      Continuer Enregistrez le profil et passez à l’étape de sélection des alertes.
      Mettre à jour Enregistrez les mises à jour de ce profil et revenez à la liste des profils d’événements Splunk .
      Enregistrer Enregistrez ce profil et restez sur la page.
      Supprimer Supprimez cet enregistrement de profil et retournez à la liste des profils d’événements Splunk .
      Étapes pour créer des profils pour le transfert manuel d’événements
    6. Pour créer un profil qui prend en charge le transfert manuel d’événements, procédez comme suit.

      Pour les événements que vous transférez sur demande à partir de votre Splunk console d’entreprise, vous pouvez baser le mappage de champs individuels sur n’importe quel profil existant. Vous pouvez également créer une nouvelle grille de mappage pour les données de pièce jointe exportées. Les événements que vous transférez manuellement ne sont pas planifiés dans le profil d’événement.

      1. Si ce n’est pas déjà fait, dans la liste de choix du champ Type, sélectionnez Transfert manuel d’événements.
      2. Dans le champ Option de mappage qui s’affiche, à partir de la liste de choix, choisissez une option de mappage pour continuer.

        Reportez-vous aux figures et tableaux suivants pour plus d’informations sur les options de mappage disponibles dans la liste de choix Options de mappage.

        Figure 1. Créer une option de mappage de champ
        Champ d’option de mappage mis en surbrillance.
        Tableau 1. Option Créer un mappage de champs
        Option ou champ Description
        Créer une option de mappage de champs Nouveau mappage de champs pour votre événement.

        Si vous n’avez pas de mappage de champs existant similaire au profil que vous créez, sélectionnez cette option pour créer une nouvelle carte.
        Profil par défaut

        Profil de transfert d’événements par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée).

        Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est le seul profil actif et utilisé pour chaque Splunk mappage de champs d’événement à un SIR incident de sécurité. Un profil s’adapte à tous les événements transférés.

        Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
        Type de source

        Splunk serveur.

        Ce champ n’est pas disponible si l’option de profil par défaut est activée.

        Le cas échéant, l’option Type de source permet un mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction du type de Splunk source.

        Si vous souhaitez gérer les événements de journalisation de pare-feu différemment des événements de détection de point de terminaison et qu’ils ont des types de sources différents Splunk , vous pouvez créer différents profils d’événements en fonction des types de sources pour satisfaire à cette exigence.
        Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut.

        Si vous avez créé un grand nombre de profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
        (Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils.

        Pour un profil avec un nouveau mappage de champs, vérifiez que vous avez saisi une valeur dans le champ Type de source et cliquez sur Continuer pour passer à l’étape de mappage de la configuration.

        Pour un profil avec un mappage de champs existant, reportez-vous à la figure et au tableau suivants pour plus d’informations.

        Figure 2. Sélectionner un profil existant pour l’option de mappage de champ
        Copiez une option de mappage existante.
        Tableau 2. Sélectionner un profil existant pour l’option de mappage de champ
        Option ou champ Description
        Sélectionner un profil existant pour le mappage de champs Un mappage de champs existant pour votre événement.

        Le champ Copier à partir du profil s’affiche.

        Suivez ces étapes pour copier un mappage de champs existant pour ce profil.

        1. À gauche du champ Copier à partir du profil qui s’affiche, cliquez sur l’icône de recherche.
        2. Dans la liste Profils d’événements Splunk qui s’affiche, cliquez sur le nom du profil qui contient la carte que vous souhaitez copier.

          Le nom du profil s’affiche dans le champ Copier à partir du profil.
        Profil par défaut

        Profil de transfert d’événements par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée).

        Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est le seul profil actif. Il est utilisé pour le mappage de chaque Splunk champ d’événement à un SIR incident de sécurité. Un profil s’adapte à tous les événements transférés.

        Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
        Type de source

        Splunk serveur.

        Ce champ n’est pas disponible si l’option de profil par défaut est sélectionnée.

        Le cas échéant, l’option Type de source permet un mappage de champs d’événements uniques aux champs d’incident de sécurité en fonction du type de Splunk source.

        Si vous souhaitez gérer les événements de journalisation de pare-feu différemment des événements de détection de point de terminaison et qu’ils ont des types de sources différents Splunk , vous pouvez créer différents profils d’événements en fonction des types de sources pour satisfaire à cette exigence.
        Ordre La valeur par défaut est 100. Laissez ce paramètre par défaut.

        Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil dont le numéro est le plus bas a la priorité la plus élevée.
        (Facultatif) Descriptif Texte pour vous aider à distinguer ce profil des autres profils.

        En bas du formulaire de sélection d’un mappage existant pour votre profil, cliquez sur Terminer pour terminer la configuration du profil.

    Que faire ensuite

    Vous avez terminé les étapes de création de profils pour les alertes planifiées et le transfert manuel d’événements. Pour les profils pour le transfert manuel d’événements, vous avez terminé la configuration du profil. L’étape suivante consiste à charger les données de la pièce jointe à l’étape de mappage.

    Pour les profils des alertes planifiées, l’étape suivante consiste à sélectionner les alertes pour l’ingestion automatique.