Création automatique d’incident de sécurité
Il est possible d’intégrer Réponse aux incidents de sécurité des outils de surveillance tiers, tels que Splunk, afin que les événements de sécurité importés à partir de ces outils génèrent automatiquement des incidents de sécurité. Vous pouvez également importer des données à partir d’outils tiers dans les alertes de sécurité.
Pour intégrer des outils de surveillance des alertes à Réponse aux incidents de sécurité, vous devez utiliser l’API REST pour écrire dans la table d’importation des incidents de sécurité [sn_si_incident_import]. Ensuite, à l’aide des cartes de transformationde transformation d’incident de sécurité, la table source du jeu d’importation est mappée aux champs de la table Incident de sécurité cible [sn_si.incident].
Si vous tentez d’importer des enregistrements de CI qui ne sont pas reconnus par la carte de transformation, le script de carte de transformation recherche les éléments suivants (dans cet ordre) dans l’enregistrement pour tenter d’établir une correspondance :
- sys_id
- Nom CI :
- Nom de domaine complet
- Adresse IP
Remarque :
Si vous trouvez que la carte de transformation de l’incident de sécurité n’est pas adaptée à l’outil de surveillance des alertes tiers que vous utilisez, dupliquez-la, créez-en une nouvelle et modifiez les champs selon vos besoins.