Créer un profil
En tant qu’utilisateur disposant du rôle sn_si.admin, vous créez un profil dans votre ServiceNow AI Platform instance et déterminez quels événements de corrélation créent des incidents de sécurité. Avant ServiceNow AI Platform Réponse aux incidents de sécurité que les incidents de sécurité (SIR) ne soient créés à partir d’événements de corrélation, les valeurs de champ des événements sont affichées sur une mise en page d’un ServiceNow AI Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera créé.
Avant de commencer
Pourquoi et quand exécuter cette tâche
Les événements de corrélation sont automatiquement ingérés dans l’environnement Opérations de sécurité de votre ServiceNow AI Platform instance en fonction du type de profil défini. Un profil est une encapsulation d’un type d’événement de corrélation comme les tentatives d’accès non autorisé ou les programmes malveillants.
Une fois qu’un événement de corrélation a été ingéré, vous pouvez mapper les champs d’événement de corrélation individuels aux champs correspondants de l’incident de sécurité. Vous pouvez filtrer les événements de corrélation pour spécifier quels événements créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les événements de corrélation identifiés comme à haut risque. Vous pouvez également définir des critères d’agrégation d’événements supplémentaires afin que les événements de corrélation en double entrants soient regroupés en un incident de sécurité ouvert. Enfin, vous pouvez définir un calendrier d’ingestion et activer le profil.
Les noms des profils d’événements dans votre ServiceNow AI Platform instance doivent être uniques et ne peuvent être mappés qu’à un seul profil d’événement actif à la fois.