Incidents de sécurité créés à partir d'événements et d'alertes

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Les événements importés à partir d’outils de surveillance des alertes sont d’abord traités Event Management et regroupés en alertes. Ces alertes peuvent être utilisées pour créer des incidents de sécurité basés sur des règles d’alerte personnalisables, ou examinées manuellement pour sélectionner les alertes à examiner en tant qu’incident de sécurité.

    Vous pouvez trouver un exemple de règle d’alerte appelée Créer des incidents de sécurité à partir d’alertes critiques dans le Règles d'alerte module de l’application Event Management . Cette règle d’alerte crée automatiquement des incidents de sécurité lorsque des événements critiques liés à la sécurité sont reçus à l’intérieur ServiceNow ou à partir d’applications de surveillance tierces. Une fois l’incident de sécurité créé, il est mis à jour au fur et à mesure que de nouveaux événements sont reçus. Vous pouvez modifier le modèle de tâche dans la règle d’alerte pour modifier les valeurs initiales de l’incident de sécurité créé par cette règle d’alerte. Pour gérer chaque type distinct d’incident de sécurité que vous souhaitez créer, vous pouvez définir d’autres règles d’alerte avec des conditions différentes.

    Si vous êtes un utilisateur disposant du rôle d’administrateur de sécurité, vous pouvez également créer manuellement un incident de sécurité en cliquant sur le bouton Créer un incident de sécurité à partir d’une alerte suspecte.

    Il est important que les événements reçus d’outils externes incluent les informations suivantes :
    • Le nœud est défini sur le nom, l’adresse IP ou le sys_id du CI qui devient la ressource affectée.
    • La classification des événements est définie sur Sécurité pour les distinguer des autres événements informatiques.
    • Description de l’événement, qui remplit la description de l’incident de sécurité.
    • Les informations supplémentaires peuvent inclure toute information supplémentaire qui ne rentre pas dans les champs précédemment répertoriés ou dans d’autres champs d’événement, tels que la catégorie, les vecteurs d’attaque, l’URL de retour ou l’ID de corrélation. Le format est une chaîne qui répertorie les noms de champs ainsi que leurs valeurs, à l’aide du format JSON suivant :
      { "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
    Remarque :
    Pour chaque paire champ-valeur, si le champ de l’incident de sécurité dans lequel le nom de colonne correspond au fieldName est vide, il est défini sur fieldValue. Si le champ de l’incident de sécurité n’est pas vide, il n’est pas modifié. Dans les deux cas, l’événement ainsi que tous les champs et valeurs codés dans les informations supplémentaires sont enregistrés dans une entrée de notes de travail décrivant l’événement. Si rien ne change dans l’incident de sécurité, aucune entrée de note de travail n’est créée. Tous les champs d’un incident de sécurité, y compris les champs personnalisés que vous ajoutez à la table, peuvent être définis.