Définir des règles de corrélation

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Après avoir créé un profil de CrowdStrike Next-Gen SIEM détection, sélectionnez des règles de corrélation pour mapper les détections correspondantes à un incident de sécurité. Les règles de corrélation sont actualisées chaque fois qu’un profil est ouvert et de nouvelles règles sont disponibles pour la sélection. L’intégration CrowdStrike Next-Gen SIEM prend en charge plusieurs profils.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Procédure

    1. Si vous ne poursuivez pas à partir de la section précédente du processus de définition du profil de détection, accédez au profil que vous définissez.
      1. Accédez à la Tous > CrowdStrike Next-Gen SIEM > Profil de détection.
      2. Sélectionnez le profil que vous continuez à définir.
      3. Sélectionnez Règles de corrélation dans la barre de progression.
    2. Décochez la case Toutes les règles de corrélation sélectionnées .
    3. Dans le champ de recherche Liste de règles de corrélation, entrez le nom de la règle de corrélation créée dans le CrowdStrike portail.
    4. Sélectionnez la règle de corrélation.
    5. Utilisez la flèche vers la droite pour déplacer la règle de Disponible vers la colonne Sélectionnée .
    6. Terminez cette section du processus de définition du profil de détection en sélectionnant Continuer .

    Que faire ensuite

    Mappez les champs de détection individuels CrowdStrike Next-Gen SIEM aux champs de l’incident ServiceNow AI Platform Réponse aux incidents de sécurité de sécurité. Pour plus d'informations, consultez Mapper les champs de détection.