Mapeamento de campos de tíquete do Secureworks para campos de resposta a incidentes de segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 9 min. de leitura

    • Mapeie campos de evento ou tíquete individual para campos em um incidente de segurança Now Platform SIR.

    Mapeamento de campo de tíquete

    Como um usuário com a função sn_si.admin, use os campos da seção Tíquetes de amostra à esquerda e mapeie-os para os campos de incidente de segurança na coluna Mapeamento de campo de incidente do SIR. Edite a configuração de mapeamento arrastando os campos de tíquete ou evento do lado esquerdo e soltando-os na seção Mapeamento de campo de incidente de SIR à direita. O mapeamento à direita associa o campo de tíquete de entrada a um campo de incidente de segurança de saída.

    1. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e mantenha pressionado um nome de campo azul no lado esquerdo do formulário.
    2. Você pode inserir manualmente o nome do campo na coluna Expressão de entrada ou arrastar e soltar o nome do campo. Por exemplo, descriçãoe solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.
      O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, categoryClass é mapeado para o campo Categoria no incidente de segurança.
      CTP do Secureworks: criar perfil: mapeamento
      Nota:
      Se você inserir o nome do campo de evento manualmente na seção Expressão de entrada, deverá adicionar um prefixo como ${Event:eventfield}$ antes do nome do campo que está sendo mapeado.

      Para garantir que nenhum campo de tíquete ou evento seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. A codificação de cores dos campos de tíquete ajuda a rastrear os valores de tíquete que você já mapeou à medida que eles se tornam esmaecidos, enquanto todos os campos não mapeados restantes aparecem em azul. Isso ajuda a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de tíquete importante restante permanece não mapeada.

      Os campos em azul claro à esquerda indicam que um campo de tíquete ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um tíquete de entrada ou campo de evento a mais de um campo em um incidente de segurança. Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Essa codificação de cores ajuda a rastrear o mapeamento.

    3. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas:
      1. À direita do formulário na seção SIR Mapeamento de campo de incidente, na parte inferior da grade, clique no ícone de adição (+). Um novo campo é exibido.
      2. Na coluna Incidente de segurança, expanda a lista de seleção exibida e selecione um campo.
        Na lista de seleção expandida do novo campo, alguns campos estão sombreados. Na figura a seguir, a categoria tem um plano de fundo cinza porque foi mapeada no incidente de segurança. Semelhante à codificação de cores para os campos de tíquete no lado esquerdo do formulário, essa codificação de cores para os campos de incidente de segurança à direita ajuda a rastrear os campos de incidentes SIR já mapeados.
        CTP do Secureworks: criar perfil: seleção de mapeamento
        Nota:
        Como vários observáveis podem ser exibidos no mesmo incidente de segurança, o campo Observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho oferecem suporte a vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, será exibida uma mensagem de erro informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista de seleção na qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não está exibido na lista de seleção, o campo não será preenchido no incidente de segurança.
      3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
      4. No lado esquerdo do formulário, selecione o campo de tíquete e arraste-o e solte-o em um campo de incidente de segurança apropriado à direita.
    4. Remova campos usando o ícone - ao lado do nome do campo na seção Mapeamento de campo de incidente SIR.
    5. Continue mapeando adicionando ou removendo valores de campo para o mapeamento.

    Formatar tradução do campo

    Em determinados casos, os campos de tíquete podem não ser convertidos diretamente para os campos no SIR incidente de segurança. Para esses valores, você pode usar um editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de script se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de script, um valor de categoria de Alerta de Malware e Infecção de Vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser convertidos para uma Atividade de Código Mal-intencionado comum no campo Categoria no incidente de segurança SIR usando o Funcionalidade Formatar tradução de campo.

    Para usar o editor de script, clique no ícone {} ao lado do campo Categoria. O editor de scripts é exibido
    Secureworks CTP: Criar perfil: Editor de scripts
    .

    Insira as mudanças no script e clique em Atualizar para salvar as mudanças e retornar à página Mapeamento.

    Condições de geração de incidentes

    Depois que a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais tíquetes devem criar incidentes de segurança e quais devem ser filtrados, por exemplo, tíquetes de baixa prioridade. Você pode usar os mesmos valores de campos no construtor Condições de geração de incidentes para definir critérios adicionais que um tíquete de entrada deve satisfazer para criar um incidente de segurança. Para definir condições de geração de incidentes, siga estas etapas.
    1. Role até a seção Condições de geração de incidente no formulário e marque a caixa de seleção Filtrar com base nas condições para habilitar a opção.

      O Construtor de condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

      As opções nas listas de seleção do primeiro campo no construtor de Condições de filtro correspondem aos campos exibidos na seção Ingestão de tíquete de amostra dos tíquetes ingeridos. Esses campos são dinâmicos e mudam de acordo com os tíquetes que você ingere. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores do tíquete Secureworks CTP. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao console Secureworks CTP e revisar seus tíquetes quanto às palavras-chave.

      Nota:
      Os campos worklogs, dispositivos, anexos, observadores, availableactionse tíquete closeCodes podem ter vários valores (já que os valores são armazenados em matrizes). Como a condição de filtro pode recuperar somente cadeias de caracteres, você deve usar a condição de filtro " contém" para esses campos para garantir que os dados sejam filtrados corretamente.
    2. Usando as listas de seleção e os campos do construtor de condições, defina filtros para a primeira linha.
    3. Para adicionar mais condições, à direita dos campos, clique em E ou OU.
      • Se E for selecionado, todas as condições deverão ser atendidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
    4. (Opcional) Na segunda linha, defina uma segunda condição de filtro.

      Esse tipo de filtragem de condição de geração de incidente ajuda a restringir os tíquetes e limitar o número de incidentes de segurança desnecessários que você cria sem modificar a regra ou os filtros subjacentes. Se critérios de filtragem adicionais forem definidos, somente os tíquetes que corresponderem a todos os critérios serão mapeados para incidentes de segurança.

    Critérios de agregação de tíquete para lidar com tíquetes semelhantes e evitar incidentes duplicados

    Defina critérios adicionais de agregação de tíquete que agreguem um tíquete de entrada a um incidente de segurança SIR existente em vez de criar incidentes semelhantes e potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, essa capacidade de agregação adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de tíquete relacionados em um único incidente de segurança. Para definir os critérios, siga estas etapas abaixo:
    1. Role até a seção Critérios de agregação de tíquete no formulário e marque a caixa de seleção Condições de agregação para habilitar essa opção.

      As colunas Valores correspondentes do campo de incidente são exibidas. Esses nomes de campo são os campos no incidente de segurança que incluem todos os campos personalizados que estão configurados no incidente de segurança SIR.

    2. Na lista Disponível, selecione os valores de campo que você deseja corresponder aos incidentes de segurança existentes na NOW Platform e mova-os para a lista Selecionado.

      Todos os valores de campo selecionados devem ser correspondidos para anexar este tíquete de entrada a um incidente de segurança existente. Isso inclui campos, como Observáveis e Itens de configuração, que podem ter vários valores de campo de tíquete mapeados para eles. Todos os valores devem corresponder. Se apenas um subconjunto dos valores for correspondido, as condições de agregação de tíquete não serão atendidas e um novo incidente de segurança será criado. Consulte a captura de tela abaixo para mapeamento de campos de vários valores.


      CTP do Secureworks: criar perfil: mapeamento: agregação

      Se um novo tíquete corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o novo tíquete será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os tíquetes agregados adicionados em uma lista relacionada em um incidente de segurança. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que esses tíquetes estão sendo agregados a incidentes de segurança existentes. Se esta guia não for exibida em um incidente de segurança, role para o lado esquerdo do registro em Links relacionados e clique no link Mostrar todas as listas relacionadas.

      Nota:
      A lista relacionada de Tíquetes agregados do Secureworks não está disponível com o sistema de base. Você deve configurar o layout da Lista relacionada e incluí-lo explicitamente com as outras listas relacionadas.
    3. (Opcional) Para registrar uma anotação de trabalho para um novo tíquete adicionado recentemente ao incidente de segurança, marque a caixa de seleção para habilitar essa opção. A anotação de trabalho registra que um novo tíquete foi adicionado junto com um link para os detalhes do tíquete e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho na seção de mapeamento.

      Você mapeou com sucesso valores de um tíquete Secureworks CTP para campos em um incidente de segurança. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem de geração de incidente. Você também anexou tíquetes a incidentes de segurança existentes quando os valores do campo de tíquete correspondem aos critérios de agregação configurados.

    4. Clique em Continuar para continuar com a configuração do perfil. A próxima etapa é visualizar os campos mapeados em um incidente de segurança SIR