Créer des mappages pour ArcSight ESM l’intégration de l’ingestion d’événements

Rversion finale: Zurich

Mis à jour 31 juil. 2025

10 minutes de lecture

Dans cette étape, vous ingérez des exemples d’événements de corrélation et mappez les valeurs aux champs d’incident de sécurité SIR.

Avant de commencer

Rôle requis : admin, sn_si.admin

Pourquoi et quand exécuter cette tâche

En tant qu’utilisateur disposant du rôle sn_si.admin, vous pouvez examiner jusqu’à cinq échantillons d’événements de corrélation à partir de la colonne Événement de corrélation Intégration d’exemples à gauche du formulaire pour faciliter le mappage et la traduction des valeurs de champ d’événement en champs d’incident de sécurité dans la colonne Mappage du champ d’incident SIR à droite.

Créez des mappages personnalisés en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. Les champs affichés par défaut sont généralement des champs importants à renseigner sur le formulaire de réponse aux incidents de sécurité. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant des champs sur la grille de mappage située à droite du formulaire. La personnalisation des champs vous permet de mapper ArcSight ESM les champs qui ne sont pas affichés sur la grille de mappage par défaut de l’incident de sécurité.

Procédure

Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
Vous pouvez soit extraire les échantillons d’événements de corrélation les plus récents pour la règle de corrélation sélectionnée, soit fournir les ID d’événements de corrélation uniques pour les événements de corrélation spécifiques que vous souhaitez utiliser pour votre expérience de mappage d’événements de corrélation.
Dans la liste déroulante, sélectionnez l’une des options suivantes :
- Récupérer les événements de corrélation les plus récents
- Sélectionner les événements de corrélation en fonction de l'ID d'événement
Cliquez sur Récupérer les événements pour extraire les derniers échantillons d’événements de corrélation à partir de la ArcSight ESM console pour la règle de recherche de corrélation sélectionnée.
Les résultats des champs et des valeurs d’événements de corrélation sont affichés sous forme d’onglets individuels.

L’extraction des échantillons d’événements de corrélation peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

Dans la figure suivante, les paires de valeurs de nom de champ de l’événement de corrélation ingéré ou des exemples d’événements importés s’affichent sur le côté gauche de ce formulaire une fois l’extraction d’ingestion terminée. Il s’agit des valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident SIR du formulaire.
Pour faire correspondre une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez tout en maintenant enfoncé le nom d’un champ bleu sur le côté gauche du formulaire.
Faites glisser le nom du champ, par exemple agent.hostname, et déposez-le sur un champ de la colonne Expression d’entrée à côté d’un nom de champ dans la colonne Incident de sécurité.

Pour vous assurer qu’aucun champ d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’un champ d’événement de corrélation n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ de corrélation entrant à plusieurs champs sur un incident de sécurité.

Un champ gris indique qu’un champ a été sélectionné et mappé à un champ de l’incident de sécurité. Ce code couleur vous aide à suivre les champs d’événements qui ont déjà été utilisés pour les futurs mappages de champs d’incidents de sécurité.
Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
1. À droite du formulaire, dans la section Mappage du champ d’incidents SIR, au bas de la grille, cliquez sur l’icône plus.
  Un nouveau champ s’affiche.
2. Dans la colonne Incident de sécurité, développez la liste de choix qui s’affiche, puis sélectionnez un champ.
  
  Dans la liste de choix développée pour le nouveau champ, certains champs sont ombrés. Dans la figure suivante, l’utilisateur affecté a un arrière-plan gris, car il a été mappé dans l’incident de sécurité. Semblable au code couleur pour les champs d’événements de corrélation sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident SIR déjà mappés.
  
  Remarque :
  Afin que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité possède une liste de choix dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affichée dans la liste de choix, le champ n’est pas renseigné sur l’incident de sécurité.
3. Vous pouvez également saisir une valeur dans le champ Rechercher de la nouvelle ligne.
4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’événement souhaité dans le champ expression d’entrée .
  Avec la fonction glisser-déposer, mappez-le à côté de votre nouveau champ.
Facultatif : Ouvrez l’éditeur de script et poursuivez la modification.

Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’événements de corrélation.Conditions de filtrage de génération d’incidents
Facultatif : Une fois que vous avez terminé les étapes de mappage de champ précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un événement de corrélation entrant doit satisfaire pour créer un incident de SIR sécurité.
Pour définir les conditions de génération d’incidents, procédez comme suit.
1. Faites défiler la page jusqu’à la section Conditions de génération d’incidents sur le formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.
  
  Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.
  
  Les options des listes de choix pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’événements de corrélation pour les événements que vous avez ingérés. Ces champs sont dynamiques et changent en fonction des événements de corrélation que vous ingérez. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’événement ArcSight ESM de corrélation.
  
  À l’aide des listes de choix et des champs du générateur de conditions, définissez des filtres pour la première ligne.
2. Pour ajouter plus de conditions, à droite des champs, cliquez sur ET ou OU.
  Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
3. Facultatif : Sur la deuxième ligne, définissez une deuxième condition de filtre.
  
  L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création d’incidents de sécurité.
  
  Vous avez défini les conditions de génération d’incidents afin que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.
  
  Ce type de filtrage des conditions de génération d’incidents vous aide à affiner les événements de sécurité et à limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la recherche de corrélation sous-jacente ou filtrer les événements dans ArcSight ESM. Si des critères de filtrage supplémentaires sont définis, seuls les événements de corrélation qui correspondent à tous les critères sont mappés aux incidents.
  
  Remarque :
  Si l’un des noms de champs d’événements contient des caractères spéciaux tels que des guillemets (« ), des traits d’union ('), des traits de soulignement (-) ou des esperluettes (@), ces caractères devront peut-être être remplacés à des fins de mappage de traduction et éventuellement créer un nom d’événement en double. Le mappage peut être effectué de manière appropriée, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’événements en double. Par exemple, si le premier champ d’événement est events.event et le deuxième champ d’événement est events.event, ces champs ne peuvent pas être identifiés de façon unique, car les caractères de texte standard restants sont identiques. Dans ce cas, un suffixe est ajouté au deuxième champ d’événement et le champ est renommé en events@event(1).
Critères d’agrégation d’événements pour gérer des événements de corrélation similaires et empêcher les incidents en double
Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères d’agrégation d’événements supplémentaires afin que les événements de corrélation entrants soient regroupés en un incident de sécurité ouvert.
Pour définir les critères, procédez comme suit ci-dessous :
1. Faites défiler la page jusqu’à la section Critères d’agrégation d’événements sur le formulaire et cochez la case Conditions d’agrégation pour activer cette option.
  
  Les colonnes Valeurs correspondantes au champ Incident s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.
2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans ServiceNow AI Platform votre et déplacez-les vers la liste Sélectionné.
  Toutes les valeurs de champ que vous sélectionnez doivent être mises en correspondance pour ajouter cet événement de corrélation entrant à un incident de sécurité existant. Cela inclut les champs, tels que les observables et les éléments de configuration, auxquels plusieurs valeurs de champs d’événements de corrélation peuvent être mappées. Toutes les valeurs doivent correspondre. Si seul un sous-ensemble de valeurs correspond, les conditions d’agrégation d’événements ne seront pas remplies et un nouvel incident de sécurité sera créé. Voir la capture d’écran ci-dessous pour le mappage de champs à valeurs multiples.
  Si un nouvel événement de corrélation correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, le nouvel événement de corrélation est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’analyste SOC travaillant sur des incidents de sécurité, vous pouvez afficher tous les événements de corrélation agrégés ajoutés sur une liste connexe d’un incident de sécurité. Tous les événements de corrélation agrégés sur un incident de sécurité sont affichés dans la liste connexe Événements ArcSight agrégés . Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces événements de corrélation sont regroupés aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .
  Remarque :
  Si vous ne voyez pas cette liste connexe, procédez comme suit :
  
  Cliquez avec le bouton droit sur l’en-tête du formulaire Incident de sécurité, puis cliquez sur Configurer > Listes connexes.
  
  Sélectionnez Événements ArcSight agrégés dans la liste Disponible, déplacez-le vers la liste Sélectionné et cliquez sur Enregistrer.
  
  Cliquez sur Afficher les listes connexes. L’onglet Événements ArcSight agrégés s’affiche maintenant dans la section Liste connexe.
3. Facultatif : Pour consigner une note de travail chaque fois qu’un événement est regroupé sur l’incident de sécurité, cochez la case pour activer cette option.
  La note de travail indique qu’un nouvel événement corrélé a été ajouté ainsi qu’un lien vers les détails de l’événement corrélé.
Vous avez mappé avec succès les valeurs d’un événement de corrélation aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également agrégé des événements de corrélation avec des incidents de sécurité existants SIR lorsque les valeurs de champ d’événement correspondent aux critères d’agrégation configurés.

Choisissez-en un pour poursuivre la configuration du profil.

Option	Description

Continuer	Le formulaire Mappage s’affiche. L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
Mettre à jour	Vos données sont enregistrées et la liste des profils d’événements s’affiche ArcSight ESM .
Précédent	Le formulaire Sélection d’événement de corrélation s’affiche.
Supprimer	Supprimez ce profil d’événement pour afficher la liste des profils d’événement.