Mapear tabelas para tabelas com mapeamento de campo do Security Operations

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Security Operations fornece granularidade de mapeamento de campo mais fina para que você possa mapear uma tabela Security Operations para qualquer outra tabela.

    Antes de Iniciar

    Função necessária: sec_cmn.write

    Procedimento

    1. Navegar até Todos > Security Operations > Utilitários > Mapeamento de Campos.
    2. Clique em Nova.
    3. Preencha os campos no formulário, conforme apropriado.
      Tabela 1. Mapeamento de campo
      Campo Descrição
      Nome O nome do mapa de campo.
      Tabela de origem A tabela que fornece os dados a serem usados para criar um registro na tabela de destino.
      Regra de duplicação Controla como lidar com registros de origem que gerariam um registro duplicado. Para obter mais informações, consulte Transformação de dados compartilhados.
      Tabela de destino A tabela em que novos registros são criados.
      Ativo Marque esta caixa de seleção para ativar o mapeamento.
      Nota:
      Somente um mapeamento entre tabelas pode estar ativo de cada vez. Se dois mapas contiverem as mesmas tabelas, a versão mais antiga será desativada automaticamente.
      Descrição Descrição do mapa de campo.
    4. Ao concluir suas entradas, clique com o botão direito do mouse no cabeçalho do formulário e selecione Salvar.
      A guiaCampos de mapeamento de campo é exibida. Este registro define quais dados são colocados no campo de destino, em registros criados por esta transformação de campo.
      Formulário Mapeamento de campo
    5. Clique em Nova.
    6. Preencha os campos no formulário, conforme apropriado.
      OpçãoDescrição
      Campo Descrição
      Armazenar valor em um campo ou uma lista relacionada Selecione onde encontrar o valor. As opções incluem:
      • Adicionar novo valor a um campo no registro
      • Vincular a este valor a uma lista relacionada
      • Vincular a este valor, criando um registro se um registro correspondente não existir
        Nota:
        Se a tabela de destino não tiver listas relacionadas, este campo não será exibido.
      Campo Quando Armazenar valor em um campo ou lista relacionada estiver definido como Adicionar novo valor em um campo no registro, esse campo especificará o campo a ser preenchido.
      Nota:

      Para campos de opção, as correspondências são feitas com as opções existentes usando o rótulo ou o valor de opção subjacente. Se nenhuma correspondência for encontrada, o campo será definido, mas nenhuma nova entrada será adicionada à lista de seleção. Para obter mais informações, consulte Listasde seleção.

      Para campos de referência, uma entrada é definida somente quando um valor correspondente ao nome de exibição do registro ou umsys_id válido é encontrado. Para obter mais informações, consulte Campos de referência.
      Lista relacionada

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor em uma lista relacionada ou Vincular a este valor, criando um novo registro se um registro correspondente não existir, este campo especifica a lista relacionada à qual as informações serão adicionadas.
      Campo de valor

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor em uma lista relacionada ou Vincular a este valor, criando um novo registro se um registro correspondente não existir, este campo especifica o campo na tabela exibida no relacionado lista, que é usada para pesquisar e encontrar um registro existente. Por exemplo, se sua lista relacionada for ICs afetados, este campo poderá conter Nome ou Nome de domínio totalmente qualificadoou qualquer outro campo no registro de IC que deva ser usado para pesquisar o IC é adicionado à lista de ICs afetados.
      Dados de relacionamento

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor em uma lista relacionada, um novo registro será criado para vincular esse registro (como um incidente de segurança) ao valor (um IC, um observável e assim por diante ). Este campo especifica todas as informações adicionais (pares de campo e valor) que devem ser adicionadas a esse registro de vinculação. Por exemplo, ao adicionar um observável para um IP de origem, você pode especificar que este IP é o IP de origem, em vez de um IP de destino. Para vários valores, use um separador ^, por exemplo, type= Source IP^active=true.
      Novos dados de registro Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor, criando um novo registro se um registro correspondente não existir, se um registro relacionado correspondente ao valor analisado não for encontrado, um novo registro será criado. Este campo especifica os dados estáticos a serem adicionados a esse registro. Por exemplo, para ICs afetados, se não pudermos encontrar o IC, essa configuração indica que um novo IC foi criado). O valor encontrado no registro de origem é definido como o campo Valor no registro de IC. Você pode definir dados adicionais - uma anotação indicando por que este IC foi criado, algumas informações sobre com que tipo de ICs você está trabalhando. Um exemplo seria: description=Created by malware Incident report^type=autodetect
      Separador de valores

      Quando Armazenar valor em um campo ou lista relacionada estiver definido como Vincular a este valor em uma lista relacionada ou Vincular a este valor, criando um novo registro se um registro correspondente não existir, este campo especifica o separador a ser usado para listas de itens, geralmente uma vírgula ou ponto e vírgula.
      Tipo de valor Quando Armazenar valor em um campo ou lista relacionada estiver definido como Adicionar novo valor em um campo no registro, este campo especifica o tipo de valor. As opções incluem:
      • Registro do campo de origem
      • Anexar ao campo como uma nova linha
      • Valor estático
      • Valor estático mais o valor do campo de registro de origem
      Campo de origem Escolha o campo de origem que contém o valor a ser colocado no campo de destino ou na lista relacionada selecionada.
      Campo estático Valor estático para o campo.
      Transformação de valor Escolha a entrada de transformação do valor do campo a ser aplicada. Ele é usado para mapear campos de opção entre registros, por exemplo, convertendo o conjunto de opções de Categoria para um incidente de segurança no campo Tipo apropriado para uma Solicitação de Mudança.
      Tabela de destino Preenchido automaticamente com a tabela de destino.
      Mapeamento de Campos Preenchido automaticamente com o mapa de campo primário.
      Tabela de origem Preenchido automaticamente com a tabela de origem.
    7. Clique em Enviar.