マッピングの詳細

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • プロファイルの特定の相関ルールと注目イベントタイプを特定したら、次のステップでは、個々の注目イベントフィールドを ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントのフィールドにマップします。

    マッピングの概要

    マッピングステップでは、選択した相関ルールのサンプルの注目イベントを取り込むことも、手動で転送された注目イベントの注目イベントデータをエクスポートすることもできます。イベントマッピングプロセスは、作成するプロファイルタイプに関係なく同じです。

    次の図は、イベントプロファイルのタイプごとに提供されるデフォルトのマッピング構成の例です。セキュリティインシデントを入力するフィールドをカスタマイズできます。このマッピングフェーズで、関連するすべての注目イベントフィールドデータが、SIR インシデントフォームの適切な場所にマッピングされていることを確認して、SIR インシデントをプレビューセクションで可視化できます。

    複数の相関が使用されている場合は、必要なイベントを選択することで注目イベントをフェッチできます。取り込み用に複数のアラートを構成した場合は、[アラート名] を使用してアラートを選択します。

    クリックしてデータをフェッチすると、Splunk 注目イベントフィールドの名前と対応する値がフォームの左側に入力されます。これらは、SIR セキュリティインシデントフィールドにマップ可能な Splunk 注目イベントフィールドです。一部のフィールドは、SIR セキュリティインシデントフィールドに複数回マッピングできます。


    スケジュール済み注目イベントのデフォルトマッピング

    Splunk コンソールでいくつかのサンプル注目イベントを確認して、フィールドマッピング構成ステップに取り込むこともできます。このステップは、進捗状況バーで [マッピング] とラベル付けされます。このページが表示されない場合は、進捗状況バーの [マッピング] をクリックします。Splunk Enterprise Security から最大 5 つのサンプル注目イベントを取り込んで、注目イベントフィールドのマッピングプロセスを支援できます。選択した相関ルールの最新の 5 つの注目イベントを取り込むか、注目イベント ID に基づいて最大 5 つの特定の注目イベントを取り込むオプションがあります。

    注目イベントをマップするために必要なステップの概要を以下に示します。
    • スケジュール済み注目イベントのサンプルデータの取り込み:自動的に取り込まれた注目イベントプロファイルに使用されるサンプルデータの場合、サンプルデータが取得されると、使用可能な注目イベントフィールドとそれに対応する値が、マッピングフォームの左側のデフォルトのマッピングレイアウトに表示されます。プルした特定の注目イベント ID の値を表示するタブが表示されます。フォームの左側にある [注目イベントサンプルの取り込み] セクションのすべての重要なフィールドが、フォームの右側の ServiceNow セキュリティインシデントフィールドにマッピングされていることを確認します。
    • フィールドマッピング:左側から注目イベントフィールドをドラッグして、右側の [ServiceNow SIR インシデントマッピング] セクションにドロップし、マッピング構成を編集します。右側のマッピングで、[受信注目イベント] フィールドを [送信セキュリティインシデント] フィールドに関連付けることができます。
    • マッピングエクスペリエンス:[SIR インシデントフィールドマッピング] セクションの下部にある [+] アイコンを使用してフィールドを追加または削除し、マッピンググリッドをカスタマイズします。提供されている色分け (マップ済みのフィールドはグレー表示、マップされていないフィールドは青) を使用して、見落とされているフィールドや重複フィールドを追跡します。
    • インシデント生成条件:マッピングセクションが完了したら、フィルター条件を設定して、どの注目イベントがセキュリティインシデントを作成し、どの注目イベントがフィルタリングで除外されるか (低優先度の違反など) を指定できます。これは、[注目イベントのマッピング (Notable Event Mapping)] セクションの下にある [インシデント生成条件] セクションで行います。
    • イベント集計基準:類似の重複する可能性があるインシデントを作成するのではなく、既存の SIR セキュリティインシデントに受信注目イベントを集計する追加のイベント集計基準を定義します。この追加の集計機能では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのセキュリティ注目イベントデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。
    • フォーマットフィールド変換:場合によっては、Splunk Enterprise 注目イベントのイベントフィールド値は、SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。たとえば、スクリプトエディターを使用すると、 [マルウェアアラート] と [ウイルス感染]のカテゴリ値でソースカテゴリのフィールド値が異なる可能性がありますが、フォーマットフィールド変換機能を使用して、SIR セキュリティインシデントの [カテゴリ] フィールドで両方の値を一般的な悪意のあるコードアクティビティに変換することができます。

    次のステップでは、注目イベントを取り込み、値を SIRセキュリティインシデントフィールドにマップします。