Mapeamento de campo de alerta

Como um usuário com a função sn_si.admin, use os campos da seção Alertas de amostra à esquerda e mapeie-os para os campos de incidente de segurança na coluna Mapeamento de campo de incidente SIR no painel direito. Edite a configuração de mapeamento arrastando os campos de alerta do lado esquerdo e soltando-os no SIR seção de mapeamento de incidentes à direita. O mapeamento à direita associa o campo Alerta de entrada a um campo de incidente de segurança de saída.

1. Depois de obter os dados de amostra, a próxima etapa é mapear os campos de alerta para o incidente de segurança. Para mapear um valor de campo do lado esquerdo do formulário para um campo no incidente de segurança no lado direito do formulário, clique e segure um nome de campo azul no lado esquerdo do formulário.
2. Arraste o nome do campo, por exemplo, categoria E solte-o em um campo na coluna Expressão de entrada ao lado de um nome de campo na coluna Incidente de segurança.

   O valor do campo é exibido na coluna Expressão de entrada. Na imagem a seguir, categoria está mapeado para Categoria campo no incidente de segurança.

   
   
   

   No entanto, você pode corresponder qualquer valor do lado esquerdo a um campo à direita. Verifique se o valor está mapeado corretamente no incidente de segurança durante a etapa de visualização.

   Para ajudar você a garantir que nenhum campo de alerta seja ignorado ou duplicado no processo de mapeamento, os campos são codificados por cores. A codificação por cores dos campos de alerta ajuda a acompanhar os valores de alerta que você já mapeou conforme eles ficam esmaecidos, enquanto todos os campos não mapeados restantes aparecem em azul. Isso ajuda a visualizar melhor quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de alerta importante restante permanece não mapeada.

   Campos azuis claros à esquerda indicam que um campo de alerta ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de alerta de entrada a mais de um campo em um incidente de segurança. Um campo cinza indica que um campo foi selecionado e mapeado para um campo no incidente de segurança. Esta codificação por cores ajuda você a rastrear o mapeamento.

   Nota:

   1. Para inserir manualmente um valor no campo Expressão de entrada, insira-o no formato "fieldname". O campo de alerta será mapeado para o campo de incidente de segurança.
   2. Não é possível mapear alertas ingeridos para MITRE-ATT&CK Campos da estrutura na seção Mapeamento de incidentes de segurança. Se você ainda mapear os campos, as informações não estarão disponíveis como parte do MITRE-ATT&CK cartão no MITRE-ATT&CK seção estrutura no formulário de incidente de segurança. Para associar o. MITRE-ATT&CK Técnicas, use Recurso de extração automática disponível como parte do MITRE-ATT&CK Estrutura no Inteligência contra ameaças Módulo.
3. Para adicionar campos aos campos padrão exibidos no incidente de segurança no lado direito do formulário, siga estas etapas.
   1. À direita do formulário em SIR Na seção Mapeamento de campo de incidente, na parte inferior da grade, clique no ícone de adição. Um novo campo é exibido.
   2. Na coluna Incidente de segurança, expanda a lista de seleção exibida e selecione um campo.

      Na lista de seleção expandida do novo campo, alguns campos são sombreados. Na figura a seguir, Categoria tem um fundo cinza, porque foi mapeada no incidente de segurança. Semelhante à codificação por cores dos campos de alerta no lado esquerdo do formulário, essa codificação por cores para os campos de incidente de segurança à direita ajuda a rastrear os já mapeados SIR campos de incidente.

      
      
      
      Nota:

      Como vários observáveis podem ser exibidos no mesmo incidente de segurança, o campo observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho são compatíveis com vários valores. Se você tentar mapear dois valores para um campo que não pode oferecer suporte a vários valores, ao visualizar o incidente, uma mensagem de erro será exibida informando que não há valor para o campo. Da mesma forma, se um campo em um incidente de segurança tiver uma lista de seleção da qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não seja exibida na lista de seleção, o campo não será preenchido no incidente de segurança.
   3. Como alternativa, digite um valor no campo Pesquisar para a nova linha.
   4. No lado esquerdo do formulário, clique com o botão esquerdo do mouse para selecionar o ID do alerta desejado no campo Expressão de entrada. Com o recurso de arrastar e soltar, mapeie-o ao lado do novo campo.
4. Continue o mapeamento adicionando ou removendo valores de campo ao mapeamento.
5. Depois de concluir as etapas de mapeamento de campo anteriores, você pode usar os mesmos valores de campo no construtor Condições de geração de incidentes para definir critérios adicionais que um alerta de entrada deve atender para criar um incidente de segurança. Para definir condições de geração de incidentes, siga estas etapas.

Formatar tradução de campo

Em determinados casos, os valores do campo de alerta em API de segurança do Microsoft Graph Não pode ser traduzido diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de scripts para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de scripts se quiser formatar valores semelhantes, mas não idênticos. Por exemplo, com o editor de script, um valor de categoria Alerta de malware e infecção por vírus pode ter valores de campo diferentes para a categoria de origem, mas ambos os valores podem ser traduzidos em uma Atividade de código mal-intencionado comum no campo Categoria no incidente de segurança SIR usando a funcionalidade Tradução de campo de formatação.

Para usar o editor de scripts, clique no ícone . O editor de script é exibido.

Condições de geração de incidentes

Quando a seção de mapeamento estiver concluída, você poderá definir condições de filtro para especificar quais alertas devem criar incidentes de segurança versus quais alertas devem ser filtrados, por exemplo, alertas de baixa prioridade. Você pode usar os mesmos valores de campo no construtor Condições de geração de incidentes para definir critérios adicionais que um alerta de entrada deve atender para criar um incidente de segurança. Para definir condições de geração de incidentes, siga estas etapas.

1. Role até a seção Condições de geração de incidentes no formulário e selecione a opção Filtrar com base em condições. O construtor Condições de filtro é exibido. Use esses filtros para criar incidentes de segurança que correspondam às condições específicas descritas pelos campos.

   As opções nas listas de seleção do primeiro campo no construtor Condições de filtro correspondem aos campos exibidos na seção Ingestão de amostra de alerta para o alerta que você ingeriu. Esses campos são dinâmicos e mudam dependendo do alerta que você ingere. Os critérios inseridos diferenciam maiúsculas de minúsculas e devem corresponder exatamente aos valores do alerta. Se você não tiver certeza sobre os valores a serem inseridos nos campos de filtro, talvez prefira retornar ao locatário do Microsoft Azure e revisar os alertas para as palavras-chave.

2. Usando as listas de seleção e os campos do construtor de condições, defina filtros para a primeira linha.
3. Para adicionar mais condições, à direita dos campos, clique em E. ou OU .
   • Se E. selecionado, todas as condições devem ser correspondidas.
   • Se OU está selecionado, qualquer condição pode ser correspondida.
4. Na segunda linha, defina uma segunda condição de filtro

   A imagem a seguir é um exemplo com duas condições que devem ser correspondidas antes que os incidentes de segurança sejam criados.

   
   
   

   Você definiu as condições de acionamento para que os incidentes de segurança sejam criados somente quando as duas condições de filtragem inseridas forem correspondidas.

   Esse tipo de filtragem ajuda a isolar alertas de segurança e limita o número de incidentes de segurança que você cria. Se critérios de filtragem adicionais forem definidos, somente os alertas necessários serão ingeridos sem precisar mudar a consulta ou a configuração de alerta acionada.

Critérios de agregação de alertas para lidar com alertas semelhantes e evitar incidentes duplicados

Defina critérios de agregação de alertas adicionais que agregue um alerta de entrada a um existente SIR incidente de segurança em vez de criar incidentes semelhantes e potencialmente duplicados. Usando critérios de valor de correspondência de campo para cada perfil, esse recurso de agregação adicional pode reduzir o número de incidentes de segurança ativos sobrepostos, colocando todos os dados de alerta relacionados em um único incidente de segurança. Para definir os critérios, siga estas etapas abaixo:

1. Role até a seção Critérios de agregação de alertas no formulário e selecione a opção Condições de agregação. As colunas Valores de correspondência do campo do incidente são exibidas. Esses nomes de campos são os campos no incidente de segurança que incluem todos os campos personalizados configurados no SIR incidente de segurança.
2. Na lista Disponível, selecione os valores de campo que você deseja corresponder nos incidentes de segurança existentes em seu ServiceNow AI Platform E mova-os para a lista Selecionado. Todos os valores de campo selecionados devem ser correspondidos para anexar este alerta de entrada a um incidente de segurança existente. Isso inclui campos, como Observáveis e Itens de configuração, que podem ter vários valores de campo de alerta mapeados para eles. Todos os valores devem corresponder. Se somente um subconjunto dos valores for correspondido, as condições de agregação de alertas não serão atendidas e um novo incidente de segurança será criado. Consulte a captura de tela abaixo para obter o mapeamento de campos de vários valores.
   
   
   

   Se um novo alerta corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o alerta será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os alertas agregados adicionados em uma lista relacionada em um incidente de segurança. Todos os alertas agregados em um incidente de segurança são exibidos na lista relacionada Alertas agregados do Microsoft Graph. Esta lista detalha carimbos de data/hora associados e valores de campo agregados. Essas informações ajudam você a entender por que os alertas são adicionados a incidentes de segurança existentes. Se esta guia não for exibida, role para o lado esquerdo do registro em Links relacionados e clique em Mostrar todas as listas relacionadas link.

3. (Opcional) Para registrar em log uma anotação de trabalho para um novo alerta que foi adicionado recentemente no incidente de segurança, marque a caixa de seleção para habilitar esta opção. A anotação de trabalho registra em log que um novo alerta foi adicionado junto com um link para os detalhes do alerta e quaisquer outros detalhes que possam ter sido adicionados ao campo de anotação de trabalho na seção de mapeamento.

   Valores mapeados de um alerta para campos em um foram mapeados com sucesso SIR incidente de segurança. Além disso, você configurou condições adicionais para limitar a criação de incidentes de segurança com critérios de filtragem. Você também anexou alertas ou eventos ao existente SIR incidentes de segurança.

4. Clique em Continuar para continuar com a configuração do perfil. A próxima etapa é visualizar os campos mapeados em um incidente de segurança SIR