Mappage des alertes et des événements pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Après avoir identifié les sources d’ingestion d’alerte planifiée ou de transfert manuel d’événements, l’étape suivante consiste à mapper les champs d’événement individuels aux champs d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Vue d’ensemble du mappage des alertes et des événements

    Pour l’étape de mappage, en tant qu’utilisateur disposant du rôle sn_si.ingestion_profile_admin , vous ingérez des échantillons d’alertes à partir de votre Splunk Enterprise console ou vous exportez des données d’événement pour un Splunk Enterprise événement.

    Les figures suivantes sont des exemples des grilles de mappage par défaut fournies pour chaque type de profil d’événement. Ce mappage par défaut peut être modifié. Cette modification vous permet de personnaliser les champs qui renseignent l’incident de sécurité. Avec l’étape de mappage, vous pouvez visualiser l’impact de l’ajout ou de la suppression de champs d’événement sur les valeurs de champ d’incident SIR de sécurité.

    Sélectionnez le nom de l’alerte, puis une fois que vous avez sélectionné Extraire les données d’échantillon, les valeurs des champs d’alerte Splunk sont renseignées sur le côté gauche du formulaire lorsque des échantillons d’alertes sont ingérés par le profil. Il s’agit des champs d’alerte Splunk que vous mappez aux champs d’incident SIR de sécurité.

    Figure 1. Formulaire de mappage par défaut pour les alertes
    Formulaire de mappage par défaut pour les alertes.

    Une fois que vous avez choisi de charger les données de pièce jointe pour les événements transférés, les champs d’événement Splunk sont renseignés sur le côté gauche du formulaire. Il s’agit des champs de Splunk données mappés aux champs d’incident SIR de sécurité.

    Vous préférez peut-être consulter quelques échantillons d’alertes sur votre Splunk console à ingérer pour l’étape de configuration du mappage de champ. Cette étape est intitulée Mappage sur la barre de progression. Si cette page n’est pas affichée, sélectionnez Mappage dans la barre de progression.

    Le mappage des alertes et l’exportation d’événements sur demande à partir de votre Splunk console d’entreprise comprennent les concepts et les tâches suivants :
    • Extraire des exemples de données pour les profils d’alerte ingérés automatiquement. Une fois les données extraites d’une alerte déclenchée sur la console, les Splunk Enterprise champs d’alerte disponibles et leurs valeurs correspondantes sont affichés dans une mise en page de mappage par défaut sur le côté gauche du formulaire de mappage. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’alerte que vous avez extrait. Vérifiez que tous les champs critiques de la section Ingestion d’échantillons d’alerte à gauche du formulaire sont mappés à la grille située à droite du formulaire.
    • Si nécessaire, chargez les données d’échantillon d’événement pour tous les profils d’événement transférés manuellement. Les exemples de données de ces événements sont exportés dans un fichier .xml à partir de la Splunk Enterprise console et chargés dans votre ServiceNow AI Platform® instance. Les données importées sont affichées dans la section Ingestion d’échantillons d’alerte à gauche du formulaire.
    • Modifiez la configuration de mappage en faisant glisser les alertes sur le côté gauche et en les déposant sur la grille de mappage sur la droite. La grille de mappage sur la droite associe le champ d’alerte entrante à un champ d’incident de sécurité sortant.
    • Personnalisez la grille de mappage en ajoutant ou en supprimant des champs. Suivez les champs négligés ou dupliqués à l’aide du code couleur fourni.
    • Définissez des conditions de filtre afin de pouvoir spécifier les alertes ingérées dans l’application SIR et celles qui en sont filtrées.
    • Définissez des critères de champ d’incident supplémentaires qui regroupent une alerte entrante à un incident de sécurité existant SIR afin d’éviter les incidents en double. Ce filtrage supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’événement de sécurité connexes sur un seul incident de sécurité.
    • Dans certains cas, les valeurs des champs d’événement dans la Splunk console Enterprise peuvent ne pas se traduire directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, les valeurs des champs Alerte de programme malveillant et Infection virale de la Splunk console se traduisent toutes deux en Activité du code malveillant dans le champ Catégorie de l’incident SIR de sécurité.

    Profils d’alertes planifiées

    Après la création d’un profil d’alerte planifiée, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 2. Flux de processus pour les profils d’alerte planifiée
    Flux de processus pour l’alerte planifiée.

    Profils de transfert manuel d’événements

    Après la création d’un profil pour un événement, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 3. Flux de processus pour les profils d’événements
    Flux de processus pour l’exportation d’événements.

    L’étape suivante consiste à ingérer les alertes déclenchées ou à exporter des données et à mapper les valeurs vers les champs d’incident SIR de sécurité.