Mapper les champs de détection

  • Rversion finale: Zurich
  • Mis à jour 17 juin 2026
  • 7 minutes de lecture

    • Mappez les champs de détection CrowdStrike Next-Gen individuels aux champs de l’incident SIR de sécurité afin de pouvoir créer des détections avec les données mappées.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Procédure

    1. Sur la page de mappage, dans la section Mappage des champs de nouvelle génération de CrowdStrike, sélectionnez l’une des méthodes d’intégration d’échantillons.
      Tableau 1. Méthodes d'intégration des exemples
      Champ Description
      Tous les champs de détection et d’événements par défaut Utilisez cette méthode d’ingestion pour afficher la liste statique de toutes les détections et tous les champs d’événement. Cette méthode contient uniquement des noms de champs par défaut sans valeur.

      Vous pouvez utiliser ces informations pour mapper avec les SIR champs.
      Récupérer les détections récentes Utilisez cette méthode d’ingestion pour importer les données de détections et d’entités les plus récentes.

      Si la détection CrowdStrike Next-Gen contient plusieurs alertes, la première alerte qui fait partie de la détection est affichée dans la section de mappage. Lors de l’ingestion également, les premières valeurs de champ d’alerte de sécurité seront utilisées.

      Vous pouvez ingérer 5 détections d’échantillons.

      Les valeurs du champ de détection d’échantillon sont renseignées lorsque le profil ingère les détections d’échantillon. Vous pouvez mapper ces détections aux champs cibles d’incidents SIR. Les champs et les valeurs de détection apparaissent sous forme d’onglets individuels.
    2. Pour ajouter des champs aux champs par défaut affichés dans l’incident de sécurité, procédez comme suit :
      1. Dans la section Champs cibles des incidents SIR, sélectionnez le bouton Mapper un autre champ. Bouton Mapper un autre champ.
        Il affiche une liste de champs, à partir desquels SIR vous pouvez sélectionner un champ pour un nouveau champ à afficher.
      2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
        Remarque :
        Plusieurs observables peuvent être affichés sur le même incident de sécurité. Par exemple, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, vous voyez un message d’erreur indiquant que ce champ ne prend pas en charge plusieurs valeurs. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
      3. Dans la section Champs de détection et d’événement, faites glisser et déplacez votre champ pour le mapper à votre nouveau champ.
      4. Lorsque vous cochez la case qui correspond à un champ, toute modification nouvelle ou mise à jour apportée dans CrowdStrike mettra automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Remarque :
        Dans le système de base, la propriété système sn_sec_cs_ngsiem.detection_updates est définie par défaut sur False pour recevoir les mises à jour CrowdStrike Next-Gen relatives aux nouvelles alertes liées à SIR.
        • Par défaut, les champs Utilisateurs affectés, Éléments de configuration et Observables sont cochés. Cela signifie que chaque fois que de nouveaux observables ou éléments de configuration associés, ou des utilisateurs affectés sont ajoutés à l’incident, ces informations sont automatiquement extraites et renseignées dans les listes connexes respectives dans Security Incident Response (SIR) au cours de cet intervalle d’interrogation.
        • Pour tous les autres champs, vous devez cocher la case qui correspond à un champ pour toutes les modifications nouvelles ou mises à jour apportées à l’enregistrement de détection CrowdStrike dans CrowdStrike. Cela met automatiquement à jour les données d’incident SIR respectives avec les nouvelles données de détection.
        Important :
        Une diligence raisonnable doit être effectuée avant de sélectionner cette fonctionnalité, car le remplacement des données existantes peut entraîner des données instables pour l’analyste et toute autre automatisation définie même par les valeurs de champ de l’incident de sécurité peut également être affectée. Il est donc très important de faire preuve de diligence raisonnable avant de sélectionner une fonctionnalité de remplacement.
    3. Pour supprimer un champ, utilisez le bouton Supprimer en regard du champ d’expression d’entrée dans la section Champs cibles de l’incident SIR.
    4. Pour mapper une valeur de champ de la section Champs de détection et d’événement à un champ de la section Champs cibles de l’incident SIR, utilisez l’une des actions suivantes :
      1. Faites glisser le nom du champ de détection (par exemple, ID) et déposez-le à côté d’un nom de champ dans la colonne Champs cibles de l’incident SIR.

        Vous pouvez faire correspondre n’importe quelle valeur de la section Champs de détection et d’événement à un champ de la section Champs cibles de l’incident SIR. Les champs sont codés par couleur afin que vous ne les oubliiez pas ou ne les dupliquiez pas durant le processus de mappage. Les champs bleu clair indiquent qu’un champ de détection n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer des champs de détection entrante à plusieurs champs sur un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ de l’incident de sécurité. De cette façon, vous pouvez visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations d’incident importantes restantes restent non mappées.

      2. Vous pouvez ajouter une combinaison de texte et de champ.
        Par exemple, le nom de la détection est ${Detections : name}$. Ici, le nom de détection peut être saisi manuellement, tandis que ${Detections : name}$ est mappé à partir de la section Champs de détection et d’événement.
      3. Vous pouvez saisir manuellement et mapper directement des champs de détection ou d’événements sources sur un champ cible.
        • Pour mapper manuellement un champ de détection source, utilisez le format ${nom de champ}$. Par exemple, pour mapper la gravité d’un champ de détection, le format est ${Detections : severity}$.
        • Pour ajouter manuellement des champs d’événements sources, utilisez le format ${events names : events fields}$. Par exemple, pour mapper un champ d’événements Description des événements Alerte de sécurité, le format est ${Events : description}$.
      Cette intégration classe certains sous-types d’observables. Lorsque vous mappez un champ CrowdStrike Next-Gen avec le champ observable SIR, l’observable ServiceNow AI Platform classe automatiquement. Si vous souhaitez mapper de manière générique l’observable CrowdStrike Next-Gen entrant au type d’observable dans SIR, faites glisser et déplacez le champ Détection et événement dans le champ Observable. Toutefois, si vous connaissez le type d’observable pour l’observable CrowdStrike Next- Gen entrant dans SIR, effectuez un mappage spécifique au champ Type d’observable SIR . Voici quelques exemples de types SIR d’observables spécifiques dans : Observable (nom de domaine), Observable (adresse e-mail), Observable (adresse IP (V4)) et Observable (nom d’hôte).

      Si vos champs CrowdStrike Next-Gen entrants contiennent des MITRE-ATT&CK informations, mappez-les MITRE-ATT&CK au champ Technique. Assurez-vous que le champ CrowdStrike Next- Gen entrant contient l’ID ou le nom de la MITRE-ATT&CK technique.

      Parfois, les valeurs des champs de détection dans CrowdStrike Next-Gen peuvent ne pas être directement traduites dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.

    5. Pour formater la traduction d’un nouveau champ à partir d’une détection CrowdStrike Next-Gen afin qu’elle corresponde à une valeur de champ d’un incident de sécurité, sélectionnez le lien Cliquez ici dans l’en-tête des champs cibles de l’incident SIR .
    6. Pour modifier les champs qui prennent en charge la traduction de champs, sélectionnez l’icône Traduction de champ du bouton Format de script de format.
      Les champs qui prennent en charge la traduction des champs sont Utilisateur affecté, Élément de configuration et Priorité. Par exemple, cliquez sur l’icône du bouton Format de champ à côté de la catégorie. L’éditeur de scripts CrowdStrike Next-Gen Field Translation s’ouvre.
    7. Entrez les modifications apportées au script et sélectionnez Mettre à jour pour enregistrer les modifications et revenir à la page de mappage.
      Par exemple, pour Catégorie, définissez les éléments suivants dans l’éditeur de script :
      "<Incoming CrowdStrike Detection Field Value>" : "<Category to assign to the Security Incident>".
      Ce mappage garantit qu’un profil n’utilise que des catégories configurées.
    8. Poursuivez votre mappage en ajoutant ou en supprimant des valeurs de champ.
      Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération de détection pour définir des critères supplémentaires qu’une détection entrante doit satisfaire pour créer un incident de sécurité.
    9. Pour passer à la section Filtrage et agrégation, sélectionnez Continuer.

    Que faire ensuite

    Définissez et définissez des conditions de filtre afin de pouvoir spécifier quelles détections doivent provoquer des incidents de sécurité. Vous pouvez utiliser les mêmes valeurs de champ (définies dans la section Mappage) dans le générateur de conditions de génération de détection (dans la section Filtrage et agrégation) pour définir des critères supplémentaires qu’une détection entrante doit satisfaire pour créer un incident de sécurité.