Créer une carte de données d’enrichissement Security Operations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Convertissez les données au format JSON, XML ou Propriétés de fichier en ServiceNow enregistrements à l’aide de cartes de données d’enrichissement.

    Avant de commencer

    Rôle requis : sn_sec_cmn.write

    Pourquoi et quand exécuter cette tâche

    Les cartes de données d’enrichissement existantes sont utilisées par les workflows fournis dans Security Operations. Vous pouvez afficher la liste sous Mappage des données d’enrichissement. Pour utiliser une carte, vous avez besoin d’un déclencheur, soit une règle métier, soit un workflow.

    Procédure

    1. Accédez à la Tous > Security Operations > Utilités > Mappage des données d'enrichissement.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 1. Création d’une carte de données d’enrichissement
      Champ Description
      Nom Nom de cette carte de données d’enrichissement.
      Format d'entrée Choisissez un format dans la liste :
      • JSON (par défaut)
      • XML
      • Format du fichier de propriétés
      Clé de préfixe Utilisez cette propriété pour limiter l’ensemble de données d’entrée à une clé spécifiée. La racine de l’ensemble de données d’entrée est définie sur cette clé. Dans cet exemple, si vous avez saisi file_info, les valeurs d’entrée seront limitées aux valeurs comprises dans file_info. 
      <?xml version="1.0" encoding="UTF-8"?>
<malware>
    <version>2.0</version>
    <file_info>
        <malware>yes</malware>
        <sha1>24c051142583e10451a53893fed3aa5d80bfb1f6</sha1>
        <filetype>PE</filetype>
        <sha256>be9bd96808173e2d967feef8c8c5b8c4d73b621584fb11eb68434da1e6a0a930</sha256>
        <md5>ee8c91751b3010e38c479cf9ab09827a</md5>
        <size>546304</size>
    </file_info>
</malware>
      Application Périmètre de l'application.
      Règle de duplication Règle définissant quand un enregistrement est considéré comme doublon et quelles actions effectuer avec les enregistrements dupliqués.
      Table de destination Choisissez une table dans la liste.
      Actif Cochez cette case pour activer la carte.
      Description Entrez une description de la carte des données d’enrichissement.
    4. Cliquez sur Envoyer.
      L’onglet Champs de mappage des données d’enrichissement apparaît.
    5. Cliquez sur Nouveau.
    6. Renseignez les champs du formulaire comme il convient.
      Tableau 2. Champs de mappage des données d’enrichissement
      Champ Description
      Champ Nom de la carte de données d’enrichissement.
      Type de valeur Choisissez dans la liste :
      • Rechercher des données à l'aide de la clé de propriété
      • Valeur statique
      • Valeur statique plus données de la clé de propriété
      • Le champ est un tableau ou un objet (imbrication de données brutes)

      Chaque choix a des entrées différentes. Les valeurs de champ et les tableaux ou les objets nécessitent une clé de propriété.
      Clé de propriété Détermine la clé pour la recherche de données d’entrée et la valeur écrite dans le champ cible.
      Transformation de valeur Transformation de valeur de champ qui mappe une valeur à une autre.
      Application Périmètre de l'application.
      Ordre Dans quel ordre considérer le mappage. La première correspondance est utilisée. La valeur par défaut est 100.
      Mappage Nom de la carte de données d’enrichissement.
      Table de destination Table à laquelle vont les champs à mapper.
    7. Cliquez sur Envoyer.
      Voici un exemple de carte de données d’enrichissement.
      Exemple de mappage des données d’enrichissement