Incidents de sécurité créés à partir d'événements et d'alertes

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Lorsque les événements sont importés à partir d’outils de surveillance des alertes, ils sont d’abord traités et Event Management regroupés en alertes. Ces alertes peuvent être utilisées pour créer des incidents de sécurité en fonction de règles d’alerte personnalisables, ou examinées manuellement pour sélectionner les alertes à examiner en tant qu’incident de sécurité.

    Le module de l’application Règles d'alerteEvent Management trouve un exemple de règle d’alerte appelé Créer des incidents de sécurité à partir d’alertes critiques. Cette règle d’alerte crée automatiquement des incidents de sécurité lorsque des événements critiques liés à la sécurité sont reçus depuis ou depuis ServiceNow des applications de surveillance tierces. Une fois l’incident de sécurité créé, il est mis à jour au fur et à mesure que de nouveaux événements sont reçus. Vous pouvez modifier le modèle de tâche dans la règle d’alerte pour changer les valeurs initiales de l’incident de sécurité créé par cette règle d’alerte. Pour gérer chaque variété distincte d’incidents de sécurité que vous souhaitez créer, vous pouvez définir d’autres règles d’alerte avec des conditions différentes.

    Si vous êtes un utilisateur ayant le rôle d’administrateur de sécurité, vous pouvez également créer manuellement un incident de sécurité en cliquant sur le bouton Créer un incident de sécurité à partir d’une alerte suspecte.

    Il est important que les événements reçus à partir d’outils externes incluent les informations suivantes :
    • Le nœud défini sur le nom, l’adresse IP ou le sys_id du CI qui devient la ressource affectée.
    • La classification des événements est définie sur Sécurité pour les différencier des autres événements informatiques.
    • Description de l’événement, qui renseigne la description de l’incident de sécurité.
    • Les informations supplémentaires peuvent inclure toutes les informations supplémentaires qui ne rentrent pas dans les champs précédemment répertoriés ou d’autres champs d’événement, tels que la catégorie, les vecteurs d’attaque, l’URL de retour ou l’ID de corrélation. Le format est une chaîne qui répertorie les noms de champs ainsi que leurs valeurs, à l’aide du format JSON suivant :
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Remarque :
    Pour chaque paire de champ et de valeur, si le champ de l’incident de sécurité où le nom de colonne correspond au fieldName est vide, il est défini sur fieldValue. Si le champ de l’incident de sécurité n’est pas vide, il n’est pas modifié. Dans les deux cas, l’événement et tous les champs et valeurs codés dans les informations supplémentaires sont enregistrés dans une entrée de notes de travail décrivant l’événement. Si rien ne change dans l’incident de sécurité, aucune entrée de note de travail n’est créée. Tous les champs d’un incident de sécurité, y compris les champs personnalisés que vous ajoutez à la table, peuvent être définis.