Transformation des données partagées

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Les modules d’extension Réponse aux incidents de sécurité, Réponse aux vulnérabilités, et Renseignements sur les menaces partagent des caractéristiques communes pour les données de relation et les règles de duplication, utilisées pour importer des informations externes et internes dans Opérations de sécurité.

    Analyse des e-mails, Règles de duplicationet Mappage de champs prenez des données d’entrée (un e-mail, un fichier JSON ou XML, ou un enregistrement) et transformez-les au format approprié pour créer un nouvel enregistrement. Chacune de ces fonctionnalités extrait les données à sa manière, mais celles-ci sont transformées en nouvel enregistrement à l’aide de plusieurs des mêmes processus.

    Données de relation

    Lorsque vous ajoutez des informations à une liste connexe (par exemple, un observable associé dans un incident de sécurité), vous pouvez créer un enregistrement de relation composé d’une table m2m. Parfois, il existe des données supplémentaires sur cet enregistrement de relation à définir. Par exemple, un observable étant une adresse IP source (par opposition à une adresse IP de destination). Ces informations se trouvent dans le champ Données de relation du formulaire Transformation de champ utilisé par l’analyse des e-mails ou dans une liste connexe Champs de mappage de champs du formulaire Mappage de champs .

    Le champ Données de relation est généralement vide. Il est le plus souvent utilisé pour les adresses IP sur les observables dans l’analyse des e-mails.

    Vous pouvez transformer les données de n’importe quel ServiceNow enregistrement en n’importe quel autre ServiceNow enregistrement à l’aide des champs de mappage de champs de la fonctionnalité Mappage de champs . Par exemple, pour transformer les données d’un incident en incident de sécurité, ou d’un incident de sécurité en PRB.

    Règles de duplication Security Operations

    Utilisez cette fonction Règles de duplication pour gérer les enregistrements en double pour la sécurité, la vulnérabilité, les IoC, et ainsi de suite.

    Les règles de duplication ont deux objectifs. Elles empêchent la création d’un trop grand nombre d’enregistrements en double et, lorsqu’un doublon est détecté, elles spécifient les champs de l’enregistrement à mettre à jour. Seuls les doublons actifs sont recherchés. Si l’enregistrement n’est pas actif, par exemple, si l’incident est fermé, tout nouveau problème identique devient un nouvel incident.

    Les règles de duplication sont utilisées par l’analyse des e-mails, le mappage de champs et le mappage d’enrichissement des données.