Mapper les tables aux tables avec le mappage de champs Security Operations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Security Operations vous fournit une granularité de mappage de champ plus fine afin de pouvoir mapper une Security Operations table sur n’importe quelle autre table.

    Avant de commencer

    Rôle requis : sec_cmn.write

    Procédure

    1. Accédez à la Tous > Security Operations > Utilités > Mappage de champs.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Tableau 1. Mappage de champs
      Champ Description
      Nom Nom de la carte de champs.
      Table source Table qui fournit les données à utiliser pour créer un enregistrement dans la table de destination.
      Règle de duplication Régit la manière de gérer les enregistrements sources susceptibles de générer un enregistrement en double. Pour plus d'informations, consultez Transformation de données partagées.
      Table de destination Table dans laquelle les nouveaux enregistrements sont créés.
      Actif Cochez cette case pour activer le mappage.
      Remarque :
      Un seul mappage entre les tables peut être actif à la fois. Si deux cartes contiennent les mêmes tables, l’ancienne version est automatiquement désactivée.
      Description Description de la carte de champs.
    4. Lorsque vous avez terminé vos saisies, faites un clic droit dans l’en-tête du formulaire et sélectionnez Enregistrer.
      L’onglet Champs de mappage de champs s’affiche. Cet enregistrement définit les données qui sont placées dans le champ cible, dans les enregistrements créés par cette transformation de champ.
      Formulaire Mappage de champs
    5. Cliquez sur Nouveau.
    6. Renseignez les champs du formulaire comme il convient.
      OptionDescription
      Champ Description
      Stocker la valeur dans un champ ou une liste connexe Sélectionnez l’emplacement de recherche de la valeur. Les choix sont les suivants :
      • Ajouter une nouvelle valeur dans un champ de l'enregistrement
      • Lier à cette valeur dans une liste connexe
      • Lier à cette valeur, ce qui crée un enregistrement si un enregistrement correspondant n’existe pas
        Remarque :
        Si la table de destination n’a pas de listes connexes, ce champ n’est pas affiché.
      Champ Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Ajouter une nouvelle valeur dans un champ de l’enregistrement , ce champ spécifie le champ à remplir.
      Remarque :

      Pour les champs de choix, les correspondances sont établies avec des choix existants à l’aide de l’étiquette ou de la valeur de choix sous-jacente. Si aucune correspondance n’est trouvée, le champ est défini mais aucune nouvelle entrée n’est ajoutée à la liste de choix. Pour plus d'informations, consultez Listes de choix.

      Pour les champs de référence, une entrée n’est définie que lorsqu’une valeur correspondant au nom d’affichage de l’enregistrement ou à unesys_id valide est trouvée. Pour plus d'informations, consultez Champs de référence.
      Liste connexe

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, la création d’un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie la liste connexe à laquelle ajouter des informations.
      Champ de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, la création d’un nouvel enregistrement si un enregistrement correspondant n’existe pas, ce champ spécifie le champ dans la table affichée dans la liste connexe, qui est utilisé pour rechercher et trouver un enregistrement existant. Par exemple, si votre liste connexe contient des CI affectés, ce champ peut contenir Nom ou Nom de domaine complet, ou tout autre champ de l’enregistrement CI qui doit être utilisé pour rechercher si le CI est ajouté à la liste des CI affectés .
      Données de relation

      Lorsque la valeur de stockage dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe, un nouvel enregistrement est créé pour lier cet enregistrement (tel qu’un incident de sécurité) à la valeur (un CI, un observable, etc.). Ce champ spécifie toutes les informations supplémentaires (paires de valeurs et de champs) devant être ajoutées à l’enregistrement de liaison. Par exemple, en ajoutant un observable pour une adresse IP source, vous pouvez spécifier que cette adresse IP est la source, plutôt que l’adresse IP de destination. Pour plusieurs valeurs, utilisez un séparateur ^, par exemple, type= Source IP^active=true.
      Données de nouvel enregistrement Lorsque la valeur stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur, un nouvel enregistrement est créé si aucun enregistrement correspondant n’existe, si aucun enregistrement associé correspondant à la valeur analysée n’est trouvé, un nouvel enregistrement est créé. Ce champ spécifie les données statiques à ajouter à cet enregistrement. Par exemple, pour les CI affectés, si nous ne trouvons pas le CI, ce paramètre indique qu’un nouveau CI est créé. La valeur trouvée dans l’enregistrement source est définie sur le champ Valeur dans l’enregistrement CI. Vous pouvez définir des données supplémentaires : une note indiquant pourquoi ce CI a été créé, des informations sur le type de CI avec lesquels vous travaillez. Voici un exemple : description=Created by malware Incident report^type=autodetect
      Séparateur de valeur

      Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Lier à cette valeur dans une liste connexe ou Lier à cette valeur, ce champ crée un nouvel enregistrement si aucun enregistrement correspondant n’existe, ce champ spécifie le séparateur à utiliser pour les listes d’éléments, généralement une virgule ou un point-virgule.
      Type de valeur Lorsque la valeur Stocker dans un champ ou une liste connexe est définie sur Ajouter une nouvelle valeur dans un champ de l’enregistrement, ce champ spécifie le type de valeur. Les choix sont les suivants :
      • Enregistrement du champ source
      • Ajouter au champ en tant que nouvelle ligne
      • Valeur statique
      • Valeur statique plus valeur du champ d'enregistrement source
      Champ source Choisissez le champ source qui contient la valeur à placer dans le champ de destination ou dans la liste connexe sélectionnée.
      Champ statique Valeur statique pour le champ.
      Transformation de valeur Choisissez l’entrée de transformation de valeur de champ à appliquer. Il est utilisé pour mapper les champs de choix entre les enregistrements, par exemple, en convertissant l’ensemble de choix de catégories pour un incident de sécurité en champ Type approprié pour une demande de changement.
      Table de destination Renseigné automatiquement avec la table de destination.
      Mappage de champs Renseigné automatiquement avec la carte de champs parente.
      Table source Renseigné automatiquement avec la table source.
    7. Cliquez sur Envoyer.