Mappage de champs d’alerte

En tant qu’utilisateur disposant du rôle sn_si.admin, utilisez les champs de la section Exemples d’alertes à gauche et mappez-les aux champs d’incident de sécurité de la colonne Mappage de champ d’incident SIR sur le panneau de droite. Modifiez la configuration de mappage en faisant glisser les champs d’alerte du côté gauche et en les déposant dans la section de mappage d’incident SIR sur la droite. Le mappage sur la droite associe le champ d’alerte entrante à un champ d’incident de sécurité sortant.

1. Une fois que vous avez extrait les exemples de données, l’étape suivante consiste à mapper les champs d’alerte à l’incident de sécurité. Pour faire correspondre une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez tout en maintenant enfoncé le nom d’un champ bleu sur le côté gauche du formulaire.
2. Faites glisser le nom du champ, par exemple la catégorie, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.

   La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, la catégorie est mappée au champ Catégorie de l’incident de sécurité.

   
   
   

   Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ sur la droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape d’aperçu.

   Pour vous assurer qu’aucun champ d’alerte n’est négligé ou dupliqué dans le processus de mappage, des champs sont codés par couleur. Le code couleur des champs d’alerte vous aide à suivre les valeurs d’alerte que vous avez déjà mappées à mesure qu’elles deviennent grisées, tandis que tous les champs non mappés restants apparaissent en bleu. Cela vous aide à mieux visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si des informations d’alerte importantes restantes restent non mappées.

   Les champs bleu clair sur la gauche indiquent qu’un champ d’alerte n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ d’alerte entrante à plusieurs champs sur un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ de l’incident de sécurité. Ce code couleur vous aide à suivre le mappage.

   Remarque :

   1. Pour saisir manuellement une valeur dans le champ expression d’entrée, saisissez-la au format ${fieldname}$. Le champ d’alerte sera mappé au champ d’incident de sécurité.
   2. Vous ne pouvez pas mapper les alertes ingérées aux champs Cadre de travail de la MITRE-ATT&CK section de mappage des incidents de sécurité. Si vous mappez toujours les champs, les informations ne seront pas disponibles dans le cadre de la MITRE-ATT&CK carte dans la MITRE-ATT&CK section cadre de travail du formulaire d’incident de sécurité. Pour associer les MITRE-ATT&CK techniques, utilisez la fonction d’extraction automatique disponible dans le cadre de travail MITRE-ATT&CK du Renseignements sur les menaces module.
3. Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
   1. À droite du formulaire, dans la section Mappage du champ d’incident SIR , en bas de la grille, cliquez sur l’icône plus (+). Un nouveau champ s’affiche.
   2. Dans la colonne Incident de sécurité, développez la liste de choix qui s’affiche, puis sélectionnez un champ.

      Dans la liste de choix développée pour le nouveau champ, certains champs sont ombrés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour les champs d’alerte sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident déjà mappés SIR .

      
      
      
      Remarque :

      Comme plusieurs observables peuvent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité possède une liste de choix dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affichée dans la liste de choix, le champ n’est pas renseigné sur l’incident de sécurité.
   3. Vous pouvez également saisir une valeur dans le champ Rechercher de la nouvelle ligne.
   4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’alerte souhaité dans le champ expression d’entrée. Avec la fonction glisser-déposer, mappez-le à côté de votre nouveau champ.
4. Poursuivez le mappage en ajoutant ou en supprimant des valeurs de champ au mappage.
5. Une fois que vous avez terminé les étapes de mappage de champ précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’une alerte entrante doit satisfaire pour créer un incident de sécurité. Pour définir les conditions de génération d’incidents, procédez comme suit.

Formater la traduction du champ

Dans certains cas, les valeurs des champs d’alerte peuvent API de sécurité Microsoft Graph ne pas être traduites directement dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident de sécurité SIR à l’aide de la fonctionnalité Formater la traduction du champ.

Pour utiliser l’éditeur de script, cliquez sur l’icône {}. L’éditeur de script s’affiche.

Conditions de génération d’incidents

Une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de pouvoir spécifier quelles alertes doivent créer des incidents de sécurité et quelles alertes doivent être filtrées (par exemple, les alertes de priorité faible). Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incidents pour définir des critères supplémentaires qu’une alerte entrante doit satisfaire pour créer un incident de sécurité. Pour définir les conditions de génération d’incidents, procédez comme suit.

1. Faites défiler jusqu’à la section Conditions de génération d’incidents sur le formulaire et sélectionnez l’option Filtrer en fonction des conditions. Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.

   Les options des listes de choix pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’alerte pour l’alerte que vous avez ingérée. Ces champs sont dynamiques et changent en fonction de l’alerte que vous ingérez. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’alerte. Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférerez peut-être retourner à votre locataire Microsoft Azure et examiner vos alertes pour les mots clés.

2. À l’aide des listes de choix et des champs du générateur de conditions, définissez des filtres pour la première ligne.
3. Pour ajouter plus de conditions, à droite des champs, cliquez sur ET ou OU.
   • Si ETest sélectionné, toutes les conditions doivent être mises en correspondance.
   • Si OUest sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
4. Sur la deuxième ligne, définissez une deuxième condition de filtre

   L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création d’incidents de sécurité.

   
   
   

   Vous avez défini les conditions de déclenchement afin que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.

   Ce type de filtrage vous aide à isoler les alertes de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si des critères de filtrage supplémentaires sont définis, seules les alertes requises sont ingérées sans qu’il soit nécessaire de modifier la requête ou la configuration des alertes déclenchées.

Critères d’agrégation d’alertes pour gérer des alertes similaires et empêcher les incidents en double

Définissez des critères d’agrégation d’alertes supplémentaires qui regroupent une alerte entrante à un incident de sécurité existant SIR au lieu de créer des incidents similaires, potentiellement en double. En utilisant des critères de valeur de correspondance de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’alerte connexes sur un seul incident de sécurité. Pour définir les critères, procédez comme suit ci-dessous :

1. Faites défiler jusqu’à la section Critères d’agrégation d’alertes sur le formulaire et sélectionnez l’option Conditions d’agrégation. Les colonnes Valeurs correspondantes au champ Incident s’affichent. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.
2. Dans la liste Disponible, sélectionnez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans ServiceNow AI Platform votre et déplacez-les vers la liste Sélectionné. Toutes les valeurs de champ que vous sélectionnez doivent être mises en correspondance pour ajouter cette alerte entrante à un incident de sécurité existant. Cela inclut les champs, tels que les observables et les éléments de configuration, auxquels plusieurs valeurs de champ d’alerte peuvent être mappées. Toutes les valeurs doivent correspondre. Si seul un sous-ensemble de valeurs correspond, les conditions d’agrégation d’alertes ne seront pas remplies et un nouvel incident de sécurité sera créé. Voir la capture d’écran ci-dessous pour le mappage de champs à valeurs multiples.
   
   
   

   Si une nouvelle alerte correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, l’alerte est automatiquement ajoutée à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher toutes les alertes agrégées ajoutées sur une liste connexe sur un incident de sécurité. Toutes les alertes agrégées sur un incident de sécurité sont affichées dans la liste connexe Alertes Microsoft Graph agrégées. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi des alertes sont ajoutées aux incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .

3. (Facultatif) Pour enregistrer une note de travail pour une nouvelle alerte récemment ajoutée à l’incident de sécurité, cochez la case pour activer cette option. La note de travail indique qu’une nouvelle alerte a été ajoutée, ainsi qu’un lien vers les détails de l’alerte et tout autre détail qui a pu être ajouté au champ Note de travail dans votre section de mappage.

   Vous avez correctement mappé les valeurs d’une alerte aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage. Vous avez également ajouté des alertes ou des événements aux incidents de sécurité existants SIR .

4. Cliquez sur Continuer pour poursuivre la configuration du profil. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un incident de sécurité SIR