Mapper les champs de Centre de sécurité AWS résultat

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

7 minutes de lecture

Mappez les champs de résultat individuels Centre de sécurité AWS aux champs de l’incident SIR de sécurité afin de pouvoir créer des incidents avec les données mappées.

Avant de commencer

Rôle requis : sn_si.admin

Procédure

Sur la page de mappage, dans la Centre de sécurité AWS section Mappage, sélectionnez l’une des méthodes d’intégration d’échantillons.

Tableau 1. Méthodes d'intégration des exemples
Champ	Description
Tous les champs de résultats par défaut	Utilisez cette méthode d’ingestion pour afficher la liste statique de tous les champs de résultats. Cette méthode contient uniquement des noms de champs par défaut sans valeur. Vous pouvez utiliser ces informations pour mapper avec les SIR champs.
Récupérer les résultats récents Centre de sécurité AWS	Utilisez cette méthode d’ingestion pour importer les données des résultats les plus récents. Vous pouvez ingérer 5 résultats d’échantillon par défaut et un maximum de 20 résultats d’échantillon. Les valeurs du champ de résultat d’échantillon sont renseignées lorsque le profil ingère les résultats d’échantillon. Vous pouvez mapper ces résultats aux champs cibles des incidents SIR. Les champs et valeurs de résultat apparaissent sous forme d’onglets individuels.
Importer un échantillon de données	Sélectionnez Importer un échantillon de données pour importer les résultats d’échantillon à partir de .Centre de sécurité AWS Ce bouton s’affiche lorsque vous sélectionnez la méthode d’ingestion Récupérer les résultats récents Centre de sécurité AWS . La récupération des échantillons de résultats à partir du Centre de sécurité AWS serveur prend un certain temps. Mappez ces résultats aux champs cibles des incidents SIR. Les champs et valeurs de résultat apparaissent sous forme d’onglets individuels.

Pour ajouter des champs aux champs par défaut affichés dans l’incident de sécurité, procédez comme suit :
Dans la section Champs cibles de l’incident SIR, sélectionnez le Il affiche une liste de SIR champs, à partir desquels vous pouvez choisir d’afficher un nouveau champ.
1. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
  
  Remarque :
  Plusieurs observables peuvent être affichés sur le même incident de sécurité. Par exemple, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, vous voyez un message d’erreur indiquant que ce champ ne prend pas en charge plusieurs valeurs. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
2. Dans la Centre de sécurité AWS section Champs sources, faites glisser votre champ pour le mapper à votre nouveau champ.
3. Lorsque vous cochez la case correspondant à un champ, toutes les modifications nouvelles ou mises à jour apportées sont Centre de sécurité AWS automatiquement mises à jour dans le SIR respectif avec les nouvelles données d’incident.
  Remarque :
  Dans le système de base, la propriété système sn_sec_security.finding_updates est définie par défaut sur Vrai pour recevoir les Centre de sécurité AWS mises à jour relatives aux nouvelles alertes liées au SIR.
  - Par défaut, les champs Utilisateurs affectés, Éléments de configuration et Observables sont cochés. Cela signifie que chaque fois que de nouveaux observables ou éléments de configuration associés, ou des utilisateurs affectés sont ajoutés à l’incident, ces informations sont automatiquement extraites et renseignées dans les listes connexes respectives de Security Incident Response (SIR) pendant cet intervalle d’interrogation.
  - Pour tous les autres champs, vous devez cocher la case correspondant à un champ pour toutes les modifications nouvelles ou mises à jour apportées au résultat dans Centre de sécurité AWS. Cela met automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
  Important :
  Une diligence raisonnable doit être effectuée avant de sélectionner cette fonctionnalité, car le remplacement des données existantes peut entraîner des données instables pour l’analyste et toute autre automatisation définie même par les valeurs de champ de l’incident de sécurité peut également être affectée. Il est donc important de faire preuve de diligence raisonnable avant de sélectionner une fonctionnalité de remplacement.
Pour supprimer un champ, utilisez le (Supprimer l’élément) en regard du champ d’expression d’entrée dans la section Champs cibles des incidents SIR.
Pour mapper une valeur de champ de la Centre de sécurité AWS section Champs sources à un champ de la section Champs cibles de l’incident SIR, utilisez l’une des actions suivantes :
1. Faites glisser le nom du champ (par exemple, l’ID) et déposez-le à côté d’un nom de champ dans la colonne Champs cibles de l’incident SIR.
  
  Vous pouvez faire correspondre n’importe quelle valeur de la Centre de sécurité AWS section Champs sources à un champ de la section Champs cibles d’incidents SIR. Les champs sont codés par couleur afin que vous ne négligez pas ou ne dupliquiez pas les champs de recherche dans le processus de mappage. Les champs bleu clair indiquent qu’un champ de résultat n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ de résultat entrant à plusieurs champs sur un incident de sécurité. Un champ gris indique qu’un champ de résultat a été sélectionné et mappé à un champ de l’incident de sécurité. De cette façon, vous pouvez visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations de résultat importantes restantes restent non mappées. Toutefois, certains champs de la Centre de sécurité AWS section Champs sources ne sont pas compatibles avec les champs de la section Champs cibles des incidents SIR. Si vous mappez ces valeurs, elles ne s’affichent pas lors de la création du SIR.
2. Vous pouvez ajouter une combinaison de texte et de champ.
  Par exemple, le nom de la recherche est ${name}$. Ici, le nom du résultat peut être saisi manuellement tandis que ${name}$ est mappé à partir de la Centre de sécurité AWS section Champs sources.
3. Vous pouvez entrer manuellement un champ de recherche source et le mapper à un champ cible.
  Utilisez le format ${nom de champ}$ pour mapper manuellement un champ de recherche source. Par exemple, pour mapper un champ de recherche Gravité, le format est ${properties(severity)}$ .
Cette intégration classe certains sous-types d’observables. Lorsque vous mappez un champ de Centre de sécurité AWS recherche avec le champ observable SIR, l’observable Now Platform est classé automatiquement. Si vous souhaitez mapper de manière générique l’observable entrant Centre de sécurité AWS au type observable dans SIR, faites glisser et déplacez le Centre de sécurité AWS champ dans le champ Observable. Toutefois, si vous connaissez le type d’observable pour l’observable entrant Centre de sécurité AWS dans SIR, effectuez un mappage spécifique au champ Type d’observable SIR . Voici quelques exemples de types SIR d’observables spécifiques dans : Observable (nom de domaine), Observable (adresse e-mail), Observable (adresse IP (V4)) et Observable (nom d’hôte).
Parfois, la recherche de valeurs de champ dans Centre de sécurité AWS peut ne pas se traduire directement dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.
Pour formater la traduction d’un nouveau champ à partir d’un Centre de sécurité AWS résultat afin qu’il corresponde à une valeur de champ sur un incident de sécurité, cliquez sur le lien Cliquez ici dans l’en-tête des champs cibles de l’incident SIR .
Pour modifier les champs qui prennent en charge la traduction de champ, cliquez sur l’icône Traduction de champ du de champ.
Les champs qui prennent en charge la traduction des champs sont Catégorie, Élément de configuration et Priorité. Par exemple, cliquez sur l’icône du à côté de la catégorie. L’éditeur Centre de sécurité AWS de script de traduction de champ des résultats s’ouvre.
Entrez les modifications apportées au script, cliquez sur Mettre à jour pour enregistrer les modifications et revenir à la page Mappage.
Par exemple, pour Catégorie, définissez les éléments suivants dans l’éditeur de script :
```
"<Incoming Security Hub finding Field Value>" : "<Category to assign to the Security Incident>".
```
Ce mappage garantit qu’un profil n’utilise que des catégories configurées.
Poursuivez votre mappage en ajoutant ou en supprimant des valeurs de champ.
Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un résultat entrant doit satisfaire pour créer un incident de sécurité.
Pour passer à la section Filtrage et agrégation, cliquez sur Continuer.

Que faire ensuite

Définissez et définissez des conditions de filtre afin de pouvoir spécifier quels résultats créent des incidents de sécurité. Vous pouvez utiliser les mêmes valeurs de champ (définies dans la section Mappage) dans le générateur de conditions de génération d’incident (dans la section Filtrage et agrégation) pour définir des critères supplémentaires qu’un résultat entrant doit satisfaire pour créer un incident de sécurité.