Création automatique d’un incident de sécurité
Des outils de surveillance tiers, tels que Splunk, peuvent être intégrés Réponse aux incidents de sécurité afin que les événements de sécurité importés à partir de ces outils génèrent automatiquement des incidents de sécurité. Vous pouvez également importer des données à partir d’outils tiers dans des alertes de sécurité.
Pour intégrer des outils de surveillance des alertes dans Réponse aux incidents de sécurité, vous devez utiliser l’API REST pour écrire dans la table d’importation des incidents de sécurité [sn_si_incident_import]. Ensuite, à l’aide des cartesde transformation d’incident de sécurité, la table source du jeu d’importation est mappée aux champs de la table Incident de sécurité [sn_si.incident] cible.
Si vous tentez d’importer des enregistrements de CI qui ne sont pas reconnus par la carte de transformation, le script de carte de transformation vérifie dans l’enregistrement les éléments suivants (dans cet ordre) pour tenter d’établir une correspondance :
- sys_id
- Nom CI :
- nom de domaine pleinement qualifié
- Adresse IP
Remarque :
Si vous trouvez que la carte de transformation d’incident de sécurité n’est pas adéquate pour l’outil de surveillance d’alerte tiers que vous utilisez, dupliquez la carte de transformation, créez-en une nouvelle et modifiez les champs, selon vos besoins.