Mappage IBM QRadar des champs d’infraction aux champs de réponse aux incidents de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 10 minutes de lecture

    • Mappez les champs d’infraction, d’événement et de flux individuels aux champs d’un Now Platform SIR incident de sécurité.

    Mappage du champ d’attaque

    En tant qu’utilisateur disposant du rôle sn_si.admin, utilisez les champs de la section Exemples d’infractions sur la gauche et mappez-les aux champs d’incident de sécurité dans la colonne Mappage de champ d’incident SIR. Modifiez la configuration du mappage en faisant glisser les champs d’infraction, d’événement ou de flux depuis le côté gauche et en les déposant dans la ServiceNow SIR section de mappage des incidents située à droite. Le mappage sur la droite associe le champ d’infraction entrant à un champ d’incident de sécurité sortant.

    1. Une fois que vous avez extrait les exemples de données, l’étape suivante consiste à mapper les champs d’infraction, d’événement ou de flux à l’incident de sécurité. Pour mapper une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez longuement sur un nom de champ bleu sur le côté gauche du formulaire.
    2. Faites glisser le nom du champ, par exemple Description et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.
      La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, la description est mappée au champ Description de l’incident de sécurité.
      IBM QRadar : créer un profil : mappage : SIR1
      Remarque :
      Si vous saisissez manuellement le nom du champ d’événement ou de flux dans la section expression d’entrée, vous devez ajouter un préfixe en tant que ${Event :eventfield}$ ou ${Flow :flowfield}$ avant le nom du champ en cours de mappage.

      IBM QRadar : Créer un profil : Mappage : SIR2

      Pour vous assurer qu’aucun champ d’infraction, d’événement ou de flux n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Le codage couleur des champs d’infraction vous aide à suivre les valeurs d’infraction que vous avez déjà mappées, car elles sont grisées tandis que tous les champs non mappés restants apparaissent en bleu. Cela vous aide à mieux visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations d’infraction importantes restantes restent non mappées.

      Les champs bleu clair sur la gauche indiquent qu’un champ d’infraction n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ d’infraction, d’événement ou de flux entrant à plusieurs champs sur un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. Ce code couleur vous aide à suivre le mappage.

    3. Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité sur le côté droit du formulaire, procédez comme suit :
      1. À droite du formulaire, dans la section Mappage de champs d’incidents SIR, en bas de la grille, cliquez sur l’icône plus (+). Un nouveau champ s’affiche.
      2. Dans la colonne Incident de sécurité, développez la liste de choix qui s’affiche, puis sélectionnez un champ.
        Dans la liste de choix développée pour le nouveau champ, certains champs sont grisés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. À l’instar du code couleur pour les champs d’infraction sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident SIR déjà mappés.
        IBM QRadar : Créer un profil : Mappage : SIR3
        Remarque :
        Étant donné que plusieurs observables peuvent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité dispose d’une liste de choix dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affiché dans la liste de choix, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Vous pouvez également saisir une valeur dans le champ Rechercher pour la nouvelle ligne.
      4. Sur le côté gauche du formulaire, sélectionnez le champ d’infraction et faites-le glisser pour le déposer dans un champ d’incident de sécurité approprié à droite.
    4. Supprimez des champs à l’aide de l’icône - en regard du nom du champ dans la section de mappage de champs d’incident SIR.
    5. Poursuivez le mappage en ajoutant ou en supprimant des valeurs de champ au mappage.

    Champs d’infraction à valeurs multiples

    • Les champs d’incident de sécurité tels que les champs Catégorie et Utilisateur (par exemple, Utilisateur affecté, Affecté à) disponibles avec le produit de base ne prennent pas en charge plusieurs valeurs.
    • Les champs suivants IBM QRadar prennent en charge plusieurs valeurs :
      • Catégories
      • destination_networks
      • source_address_ids
      • local_destination_address_ids
      • remote_destination_ips
      • rules_contributing_to_offense
      • utilisateurs

      Si vous devez mapper les champs ci-dessus à des Réponse aux incidents de sécurité champs autres que les champs de type CI et Observable, vous devez créer de nouveaux Réponse aux incidents de sécurité champs de type Liste et les utiliser pour le mappage.

      Remarque :
      Par défaut, seuls les champs de type liste de non-référence sont pris en charge.

    Formater la traduction du champ

    Dans certains cas, les valeurs de champ d’infraction dans IBM QRadar peuvent ne pas se traduire directement dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez mettre en forme des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident de sécurité SIR à l’aide de la fonctionnalité Formater la traduction de champ.

    Pour utiliser l’éditeur de script, cliquez sur l’icône IBM QRadar : Créer un profil : script. L’éditeur de script s’affiche.
    IBM QRadar : créer un profil : éditeur de script

    Entrez les changements apportés au script et cliquez sur Mettre à jour pour enregistrer les changements et revenir à la page Mappage.

    Conditions de génération d’incidents

    Une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de spécifier quelles infractions doivent créer des incidents de sécurité par rapport à celles qui doivent être filtrées (par exemple, les infractions de faible priorité). Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir les critères supplémentaires qu’une infraction entrante doit satisfaire pour créer un incident de sécurité. Pour définir les conditions de génération d’incidents, procédez comme suit.
    1. Faites défiler l’écran jusqu’à la section Conditions de génération d’incidents du formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.

      Le Créateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.

      Les options des listes de choix pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Exemple d’ingestion d’infractions QRadar pour les infractions que vous avez ingérées. Ces champs sont dynamiques et changent en fonction des infractions que vous ingérez. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’infraction IBM QRadar . Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférez peut-être revenir à votre IBM QRadar console et examiner vos infractions pour les mots-clés.

      Remarque :
      Les champs Catégories, destination_networks, source_address_ids, local_destination_address_ids, remote_destination_ips, rules_contributing_to_offense et Infractions d’utilisateurs peuvent comporter plusieurs valeurs (car les valeurs sont stockées dans des tableaux). Étant donné que la condition de filtre ne peut récupérer que des chaînes, vous devez utiliser la condition de filtre contient pour ces champs afin de vous assurer que les données sont filtrées correctement.
    2. À l’aide des listes de choix et des champs du générateur de conditions, définissez des filtres pour la première ligne.
    3. Pour ajouter d’autres conditions, à droite des champs, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
    4. (Facultatif) Dans la deuxième ligne, définissez une deuxième condition de filtre.

      L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création des incidents de sécurité.


      IBM QRadar : créer un profil : mappage : SIR5

      Vous avez défini les conditions de génération d’incident de sorte que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.

      Ce type de filtrage des conditions de génération d’incident vous aide à affiner les infractions et à limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la règle ou les filtres sous-jacents dans IBM QRadar. Si des critères de filtrage supplémentaires sont définis, seules les infractions qui correspondent à tous les critères sont mappées aux incidents.

      Remarque :
      Si l’un des noms de champs d’infraction comporte des caractères spéciaux tels que des guillemets (« ), des traits d’union ('), des traits de soulignement (-) ou des esperluettes (@), ces caractères peuvent devoir être remplacés à des fins de filtrage, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’infraction en double. Par exemple, si le premier champ d’infraction est alerts.alert et que le champ deuxième champ d’infraction est alerts@alerts, ces champs ne peuvent pas être identifiés de manière unique, car les caractères de texte standard restants sont les mêmes. Dans ce cas, un suffixe est ajouté au champ de la deuxième infraction et le champ est renommé en alerts@alert(1) lorsqu’il est affiché dans la liste Conditions de filtre.

    Critères d’agrégation des infractions pour traiter les infractions similaires et empêcher les incidents en double

    Définissez des critères d’agrégation des infractions supplémentaires qui regroupent une infraction entrante en un incident de sécurité SIR existant au lieu de créer des incidents similaires et potentiellement dupliqués. En utilisant des critères de valeur de correspondance de champ pour chaque profil, cette capacité d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’infraction connexes sur un seul incident de sécurité. Pour définir les critères, procédez comme suit :
    1. Faites défiler l’écran jusqu’à la section Critères d’agrégation des infractions du formulaire et cochez la case Conditions d’agrégation pour activer cette option.

      Les colonnes Incident Field Matching Values (Valeurs correspondantes du champ d’incident) s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés dans l’incident SIR de sécurité.

    2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre Now Platform et déplacez-les vers la liste Sélectionné.

      Toutes les valeurs de champ que vous sélectionnez doivent correspondre pour ajouter cette alerte entrante à un incident de sécurité existant. Cela inclut les champs, tels que les observables et les éléments de configuration, qui peuvent avoir plusieurs valeurs de champ d’infraction mappées. Toutes les valeurs doivent correspondre. Si seul un sous-ensemble de valeurs est mis en correspondance, les conditions d’agrégation d’infractions ne seront pas remplies et un nouvel incident de sécurité sera créé. Voir la capture d’écran ci-dessous pour le mappage de champs à valeurs multiples.


      IBM QRadar : créer un profil : mappage : agrégation

      Si une nouvelle infraction correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, la nouvelle infraction est automatiquement ajoutée à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur les incidents de sécurité, vous pouvez afficher toutes les infractions agrégées ajoutées dans une liste connexe d’un incident de sécurité. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces infractions sont regroupées en incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .

    3. (Facultatif) Pour consigner une note de travail pour une nouvelle infraction récemment ajoutée à l’incident de sécurité, cochez la case pour activer cette option. La note de travail consigne qu’une nouvelle infraction a été ajoutée, ainsi qu’un lien vers les détails de l’infraction et tous les autres détails qui ont pu être ajoutés au champ Note de travail dans votre section de mappage.

      Vous avez mappé avec succès les valeurs d’une IBM QRadar infraction aux champs d’un incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également ajouté des infractions aux incidents de sécurité existants lorsque les valeurs de champ d’infraction correspondent aux critères d’agrégation configurés.

    4. Cliquez sur Continuer pour poursuivre la configuration du profil. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité