Création automatique d’incidents de sécurité
Il est possible d’intégrer Réponse aux incidents de sécurité des outils de surveillance tiers, tels que Splunk, afin que les événements de sécurité importés à partir de ces outils génèrent automatiquement des incidents de sécurité. Vous pouvez également importer des données à partir d’outils tiers dans les alertes de sécurité.
Pour intégrer des outils de surveillance des alertes à Réponse aux incidents de sécurité, vous devez utiliser l’API REST pour écrire dans la table d’importation d’incidents de sécurité [sn_si_incident_import]. Ensuite, à l’aide des cartes de transformationIncident de sécurité, la table source des ensembles de données à importer est mappée aux champs de la table Incident de sécurité [sn_si.incident] cible.
Si vous tentez d’importer des enregistrements de CI qui ne sont pas reconnus par la carte de transformation, le script de carte de transformation vérifie l’enregistrement pour les éléments suivants (dans cet ordre) afin d’établir une correspondance :
- sys_id
- Nom CI :
- nom de domaine pleinement qualifié
- Adresse IP
Remarque :
Si vous trouvez que la carte de transformation de l’incident de sécurité n’est pas adaptée à l’outil de surveillance des alertes tiers que vous utilisez, dupliquez-la, créez-en une nouvelle et modifiez les champs si nécessaire.