Mappage des alertes et des événements pour l’intégration Splunk Enterprise Event Ingestion

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Après avoir identifié les sources de l’ingestion d’alerte planifiée ou du transfert manuel d’événements, l’étape suivante consiste à mapper les champs d’événements individuels aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Vue d'ensemble

    Pour l’étape de mappage, en tant qu’utilisateur disposant du rôle sn_si.admin, vous ingérez des échantillons d’alertes à partir de votre Splunk Enterprise console ou vous exportez des données d’événement pour un Splunk Enterprise événement.

    Les figures suivantes illustrent les grilles de mappage par défaut fournies pour chaque type de profil d’événement. Ce mappage par défaut peut être modifié. Cette modification vous permet de personnaliser les champs qui renseignent l’incident de sécurité. Avec l’étape de mappage, vous pouvez visualiser l’impact de l’ajout ou de la suppression de champs d’événements sur les valeurs des champs d’incident de SIR sécurité.

    Sélectionnez le nom de l’alerte, puis une fois que vous avez cliqué pour extraire un exemple de données, les valeurs des champs d’alerte Splunk sont renseignées sur le côté gauche du formulaire lorsque des échantillons d’alertes sont ingérés par le profil. Il s’agit des champs d’alerte Splunk que vous mappez aux champs d’incident SIR de sécurité.

    Figure 1. Formulaire de mappage par défaut pour les alertes
    Formulaire de mappage par défaut pour les alertes.

    Une fois que vous avez cliqué pour charger les données de pièce jointe pour les événements transférés, les champs d’événement Splunk sont renseignés sur le côté gauche du formulaire. Il s’agit des Splunk champs de données mappés aux champs d’incident SIR de sécurité.

    Figure 2. Formulaire de mappage par défaut pour les événements transférés
    Formulaire de mappage par défaut pour les événements.

    Vous préférez peut-être examiner quelques échantillons d’alertes sur votre Splunk console à ingérer pour l’étape de configuration du mappage de champ. Cette étape est étiquetée Mappage sur la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression.

    Le mappage des alertes et l’exportation d’événements sur demande à partir de votre Splunk console d’entreprise incluent les concepts et les tâches suivants :
    • Extraire des exemples de données pour les profils d’alerte ingérés automatiquement. Une fois les données extraites d’une alerte déclenchée sur la console, les Splunk Enterprise champs d’alerte disponibles et leurs valeurs correspondantes sont affichés dans une mise en page de mappage par défaut sur le côté gauche du formulaire de mappage. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’alerte que vous avez extrait. Vérifiez que tous les champs critiques de la section Ingestion d’échantillons d’alerte à gauche du formulaire sont mappés à la grille à droite du formulaire.
    • Si nécessaire, chargez les données d’échantillon d’événement pour tous les profils d’événement transférés manuellement. Les exemples de données relatifs à ces événements sont exportés dans un fichier .xml à partir de la Splunk Enterprise console et chargés dans votre Now Platform® instance. Les données importées sont affichées dans la section Ingestion d’échantillons d’alerte à gauche du formulaire.
    • Modifiez la configuration de mappage en faisant glisser les alertes du côté gauche et en les déposant sur la grille de mappage de droite. La grille de mappage sur la droite associe le champ d’alerte entrante à un champ d’incident de sécurité sortant.
    • Personnalisez la grille de mappage en ajoutant ou en supprimant des champs. Suivez les champs négligés ou dupliqués à l’aide du code couleur fourni.
    • Définissez des conditions de filtre afin de pouvoir spécifier quelles alertes sont ingérées dans l’application SIR et quelles alertes sont filtrées.
    • Définissez des critères de champ d’incident supplémentaires qui regroupent une alerte entrante à un incident de sécurité existant SIR afin d’éviter les incidents en double. Ce filtrage supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’événement de sécurité connexes sur un seul incident de sécurité.
    • Dans certains cas, les valeurs des champs d’événements dans la Splunk console Enterprise peuvent ne pas être traduites directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, les valeurs des champs Alerte de programme malveillant et Infection virale de la Splunk console se traduisent toutes deux par Activité de code malveillant dans le champ Catégorie de l’incident SIR de sécurité.

    Profils d’alertes planifiées

    Après la création d’un profil d’alerte planifiée, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 3. Flux de processus pour les profils d’alerte planifiée
    Flux de processus pour l’alerte planifiée.

    Profils de transfert d’événements manuels

    Après la création d’un profil pour un événement, le flux de processus pour la configuration est illustré dans la figure suivante.

    Figure 4. Flux de processus pour les profils d’événement
    Flux de processus pour l’exportation d’événements.

    L’étape suivante consiste à ingérer les alertes déclenchées ou à exporter des données et à mapper les valeurs aux champs d’incident SIR de sécurité.