Mapper les champs d’incident Microsoft Azure Sentinel

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 7 minutes de lecture

    • Mappez les champs d’incident individuels Microsoft Azure Sentinel aux champs de l’incident SIR de sécurité afin de pouvoir créer des incidents avec les données mappées.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Procédure

    1. Sur la page de mappage, dans la section Mappage de champ Azure Sentinel, sélectionnez l’une des méthodes d’intégration d’échantillons.
      Tableau 1. Méthodes d'intégration des exemples
      Champ Description
      Tous les champs d’incident et d’entité par défaut Utilisez cette méthode d’ingestion pour afficher la liste statique de tous les champs d’incidents et d’entités. Cette méthode contient uniquement des noms de champs par défaut sans valeur.

      Vous pouvez utiliser ces informations pour mapper avec les SIR champs.
      Récupérer les incidents Azure Sentinel récents Utilisez cette méthode d’ingestion pour importer les données d’incidents et d’entités les plus récentes.

      Si l’incident Azure Sentinel contient les données de l’entité, les données de l’entité sont récupérées et disponibles pour le mappage dans la section Champs sources Azure Sentinel. Parfois, l’incident Azure Sentinel peut ne pas contenir les données d’entité, et par conséquent, les champs d’entité ne sont pas disponibles pour le mappage dans un tel scénario.

      Si l’incident Azure Sentinel contient plusieurs alertes, la première alerte faisant partie de l’incident s’affiche dans la section de mappage. Lors de l’ingestion également, les premières valeurs de champ d’alerte de sécurité seront utilisées.

      Vous pouvez ingérer 5 échantillons d’incidents par défaut et un maximum de 20 échantillons d’incidents.

      Les valeurs de champ d’échantillon d’incident sont renseignées lorsque le profil ingère les exemples d’incidents. Vous pouvez mapper ces incidents aux champs cibles d’incidents SIR. Les champs et les valeurs d’incident s’affichent sous forme d’onglets individuels.
      Importer un échantillon de données Cliquez sur Importer des données témoins pour importer des exemples d’incidents à partir d’Azure Sentinel.

      Ce bouton s’affiche lorsque vous sélectionnez la méthode d’ingestion Récupérer les incidents Azure Sentinel récents.

      La récupération d’échantillons d’incidents à partir du Microsoft Azure Sentinel serveur peut prendre un moment.

      Mappez ces incidents récupérés aux champs cibles d’incidents SIR. Les champs et les valeurs d’incident s’affichent sous forme d’onglets individuels.
      Mappage de champs des incidents Azure Sentinel
    2. Pour ajouter des champs aux champs par défaut affichés dans l’incident de sécurité, procédez comme suit :
      1. Dans la section Champs cibles d’incidents SIR, cliquez sur le bouton Mapper un autre champ. Bouton Mapper un autre champ.
        Il affiche une liste de champs, à partir desquels SIR vous pouvez sélectionner un champ pour un nouveau champ à afficher.
      2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
        Remarque :
        Plusieurs observables peuvent être affichés sur le même incident de sécurité. Par exemple, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, vous voyez un message d’erreur indiquant que ce champ ne prend pas en charge plusieurs valeurs. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Dans la section Champs sources Azure Sentinel, faites glisser et déplacez votre champ pour le mapper à votre nouveau champ.
      4. Lorsque vous cochez la case correspondant à un champ, toutes les modifications nouvelles ou mises à jour apportées dans Azure Sentinel mettent automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Remarque :
        Dans le système de base, la propriété système sn_sec_sentinel.incident_updates est définie par défaut sur Vrai pour recevoir les Microsoft Azure Sentinel mises à jour relatives aux nouvelles alertes liées à SIR.
        • Par défaut, les champs Utilisateurs affectés, Éléments de configuration et Observables sont cochés. Cela signifie que chaque fois que de nouveaux observables ou éléments de configuration associés, ou des utilisateurs affectés sont ajoutés à l’incident, ces informations sont automatiquement extraites et renseignées dans les listes connexes respectives dans Security Incident Response (SIR) au cours de cet intervalle d’interrogation.
        • Pour tous les autres champs, vous devez cocher la case correspondant à un champ pour tous les changements nouveaux ou mis à jour apportés à l’enregistrement d’incident Azure Sentinel dans Azure Sentinel. Cela met automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Important :
        Une diligence raisonnable doit être effectuée avant de sélectionner cette fonctionnalité, car le remplacement des données existantes peut entraîner des données instables pour l’analyste et toute autre automatisation définie même par les valeurs de champ de l’incident de sécurité peut également être affectée. Il est donc très important de faire preuve de diligence raisonnable avant de sélectionner une fonctionnalité de remplacement.
    3. Pour supprimer un champ, utilisez le bouton Supprimer en regard du champ d’expression d’entrée dans la section Champs cibles de l’incident SIR.
    4. Pour mapper une valeur de champ de la section Champs sources Azure Sentinel à un champ de la section Champs cibles de l’incident SIR, utilisez l’une des actions suivantes :
      1. Faites glisser le nom du champ (par exemple, l’ID) et déposez-le à côté d’un nom de champ dans la colonne Champs cibles de l’incident SIR.

        Vous pouvez faire correspondre n’importe quelle valeur de la section Champs sources Azure Sentinel à un champ de la section Champs cibles des incidents SIR. Les champs sont codés par couleur afin que vous ne négligez pas ou ne dupliquiez pas les champs d’incident dans le processus de mappage. Les champs bleu clair indiquent qu’un champ d’incident n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ d’incident entrant à plusieurs champs d’un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ de l’incident de sécurité. De cette façon, vous pouvez visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations d’incident importantes restantes restent non mappées.

      2. Vous pouvez ajouter une combinaison de texte et de champ.
        Par exemple, le nom de l’incident est ${name}$. Ici, le nom de l’incident peut être saisi manuellement tandis que ${name}$ est mappé à partir de la section Champs sources Azure Sentinel.
      3. Vous pouvez saisir manuellement un champ d’incident source ou d’entité et le mapper à un champ cible.
        • Pour mapper manuellement un champ d’incident source, utilisez le format ${nom de champ}$. Par exemple, pour mapper la gravité d’un champ d’incident, le format est ${properties(severity)}$.
        • Pour ajouter manuellement un champ d’entité source, utilisez le format ${nom de l’entité : champ d’entité}$. Par exemple, pour mapper un champ d’entité Description de l’entité Alerte de sécurité, le format est ${SecurityAlert : properties(description)}$.
      Cette intégration classe certains sous-types d’observables. Lorsque vous mappez un champ Azure Sentinel avec le champ observable SIR, l’observable ServiceNow AI Platform classifie automatiquement l’observable. Si vous souhaitez mapper de manière générique l’observable Azure Sentinel entrant au type d’observable dans SIR, faites glisser et déplacez le champ Azure Sentinel dans le champ Observable. Toutefois, si vous connaissez le type d’observable pour l’observable Azure Sentinel entrant dans SIR, effectuez un mappage spécifique au champ Type d’observable SIR . Voici quelques exemples de types SIR d’observables spécifiques dans : Observable (nom de domaine), Observable (adresse e-mail), Observable (adresse IP (V4)) et Observable (nom d’hôte).

      Si vos champs Azure Sentinel entrants contiennent des MITRE-ATT&CK informations, mappez-les MITRE-ATT&CK au champ Technique. Assurez-vous que le champ Azure Sentinel entrant contient l’ID ou le nom de la MITRE-ATT&CK technique.

      Parfois, les valeurs des champs d’incident ne Microsoft Azure Sentinel se traduisent pas directement dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.

    5. Pour formater la traduction d’un nouveau champ à partir d’un incident Azure Sentinel afin qu’il corresponde à une valeur de champ d’un incident de sécurité, cliquez sur le lien Cliquez ici dans l’en-tête des champs cibles de l’incident SIR .
    6. Pour modifier les champs qui prennent en charge la traduction de champ, cliquez sur l’icône Traduction de champ du bouton Format de champ.
      Les champs qui prennent en charge la traduction des champs sont Catégorie, Élément de configuration et Priorité. Par exemple, cliquez sur l’icône du bouton Format de champ à côté de la catégorie. L’éditeur de script de traduction de champ Azure Sentinel s’ouvre.
    7. Entrez les modifications apportées au script, cliquez sur Mettre à jour pour enregistrer les modifications et revenir à la page Mappage.
      Par exemple, pour Catégorie, définissez les éléments suivants dans l’éditeur de script :
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      Ce mappage garantit qu’un profil n’utilise que des catégories configurées.
    8. Poursuivez votre mappage en ajoutant ou en supprimant des valeurs de champ.
      Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un incident entrant doit satisfaire pour créer un incident de sécurité.
    9. Pour passer à la section Filtrage et agrégation, cliquez sur Continuer.

    Que faire ensuite

    Définissez et définissez des conditions de filtre afin de pouvoir spécifier quels incidents doivent créer des incidents de sécurité. Vous pouvez utiliser les mêmes valeurs de champ (définies dans la section Mappage) dans le générateur de conditions de génération d’incident (dans la section Filtrage et agrégation) pour définir des critères supplémentaires qu’un incident entrant doit satisfaire pour créer un incident de sécurité.