Transformation de données partagées

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Les modules d’extension , Vulnerability ResponseRenseignements sur les menaces et partagent Réponse aux incidents de sécuritédes caractéristiques communes, pour les données de relation et les règles de duplication, utilisées pour importer des informations externes et internes dans Security Operations.

    Analyse des e-mails, Règles de duplicationet Mappage de champs prenez les données d’entrée (un e-mail, un fichier JSON ou XML, ou un enregistrement) et transformez ces données au format approprié pour créer un nouvel enregistrement. Chacune de ces fonctionnalités extrait les données à sa manière, mais elles sont transformées en nouvel enregistrement à l’aide d’un grand nombre des mêmes processus.

    Données de relation

    Lorsque vous ajoutez des informations à une liste connexe (comme un observable associé dans un incident de sécurité), vous pouvez créer un enregistrement de relation composé d’une table m2m. Parfois, il y a des données supplémentaires à définir sur cet enregistrement de relation. Par exemple, un observable étant une adresse IP source (par opposition à une adresse IP de destination). Ces informations sont affichées dans le champ Données de relation du formulaire Transformation de champ utilisé par l’analyse des e-mails ou dans une liste connexe des champs de mappage de champs du formulaire Mappage de champs .

    Le champ Données de relation est généralement vide. Il est le plus souvent utilisé pour les adresses IP sur les observables dans l’analyse des e-mails.

    Vous pouvez transformer les données de n’importe quel ServiceNow enregistrement en n’importe quel autre ServiceNow enregistrement à l’aide des champs de mappage de champs de la fonctionnalité de mappage de champs . Par exemple, pour transformer les données d’un incident en incident de sécurité, ou d’un incident de sécurité en PRB.

    Règles de duplication de Security Operations

    Utilisez cette fonction Règles de duplication pour gérer les enregistrements en double pour la sécurité, la vulnérabilité, les IoC, etc.

    Les règles de duplication ont deux objectifs. Ils empêchent la création d’un trop grand nombre d’enregistrements en double et, lorsqu’un doublon est détecté, ils spécifient quels champs de l’enregistrement sont mis à jour. Seuls les doublons actifs sont recherchés. Si l’enregistrement n’est pas actif, par exemple, si l’incident est fermé, tout nouveau problème identique devient un nouvel incident.

    Les règles de duplication sont utilisées par l’analyse des e-mails, le mappage des champs et le mappage des données d’enrichissement.