AWS Security Hub 検出結果フィールドのマッピング

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:10分

    • 個々の AWS Security Hub 検出結果フィールドを SIR セキュリティインシデントのフィールドにマッピングし、マッピングされたデータを使用してインシデントを作成できるようにします。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. マッピングページの [AWS Security Hub マッピング] セクションで、[サンプルの取り込み方法] のいずれかを選択します。
      表 : 1. サンプルの取り込み方法
      フィールド 説明
      すべてのデフォルトの検出結果フィールド すべての検出結果フィールドの静的リストを表示するには、この取り込み方法を使用します。この方法には、値のないデフォルトのフィールド名のみが含まれます。

      この情報を使用して SIR フィールドとマッピングできます。
      最近の AWS Security Hub 検出結果を取得 (Retrieve Recent AWS Security Hub findings) 最新の検出結果データをインポートするには、この取り込み方法を使用します。

      デフォルトで取り込める検出結果は 5 つで、最大で 20 のサンプル検出結果を取り込むことができます。

      プロファイルがサンプル検出結果を取り込むと、サンプル検出結果フィールドの値が入力されます。これらのインシデントを [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] にマッピングできます。検出結果のフィールドと値が個別のタブとして表示されます。
      サンプルデータをインポート (Import Sample Data) [サンプルデータをインポート (Import Sample Data)] を選択して、サンプル検出結果を AWS Security Hub からインポートします。

      このボタンは、[最新の AWS Security Hub 検出結果を取得 (Retrieve Recent AWS Security Hub findings)] の取り込み方法を選択すると表示されます。

      AWS Security Hub サーバーからサンプル検出結果を取得するには少し時間がかかります。

      これらの検出結果を [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] にマッピングします。検出結果のフィールドと値が個別のタブとして表示されます。
    2. セキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のアクションを実行します。
      [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションで、[別のフィールドをマッピング (Map another field)] ボタンをクリックします。SIR フィールドのリストが表示され、ここから新しいフィールドを選択して表示できます。
      1. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できます。たとえば、[観測事象] フィールドは異なる値で複数回マッピングできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、このフィールドは複数の値をサポートしていないというエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      2. [AWS Security Hub ソースフィールド (AWS Security Hub Source Fields)] セクションから、フィールドをドラッグして新しいフィールドにマッピングします。
      3. フィールドに対応するチェックボックスをオンにすると、AWS Security Hub で行われた新たな変更または更新された変更が、それぞれの SIR で新しいインシデントデータに自動的に更新されます。
        注:
        ベースシステムでは、SIR にリンクされた新しいアラートに関連する AWS Security Hub 更新を受信するために、システムプロパティ sn_sec_security.finding_updates はデフォルトで True に設定されています。
        • デフォルトでは、[影響を受けるユーザー]、[構成アイテム]、および [観測可能] フィールドはオンになっています。つまり、新しい観測可能項目、関連する構成アイテム、または影響を受けるユーザーがインシデントに追加されるたびに、その情報が自動的に抽出され、そのポーリング間隔中にセキュリティインシデントレスポンス (SIR) のそれぞれの関連リストに入力されます。
        • その他のフィールドについては、AWS Security Hub 内の検出結果に対する新たな変更または更新された変更のフィールドに対応するチェックボックスをオンにする必要があります。これにより、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        重要:
        既存のデータを上書きすると、アナリストのデータが不安定になり、セキュリティインシデントのフィールド値によっても設定されている他の自動化も影響を受ける可能性があるため、この機能を選択する前にデューデリジェンスを行う必要があります。そのため、上書き機能を選択する前にデューデリジェンスを行うことが重要です。
    3. フィールドを削除するには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションの入力式フィールドの横にある [削除] ボタン ( [アイテムを削除]) ボタンを使用します。
    4. [AWS Security Hub ソースフィールド (AWS Security Hub Source Fields)] セクションのフィールド値を [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションのフィールドにマッピングするには、次のいずれかのアクションを使用します。
      1. フィールド名 ([ID] など) をドラッグし、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] 列のフィールド名の横にドロップします。

        [AWS Security Hub ソースフィールド (AWS Security Hub Source Fields)] セクションの任意の値を [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションのフィールドに一致させてもかまいません。マッピングプロセスで検出結果フィールドを見落としたり重複させたりすることのないように、フィールドは色分けされています。ライトブルーのフィールドは、検出結果フィールドがまだ未選択で、セキュリティインシデントにマッピングされていないことを示します。受信した検出結果フィールドをセキュリティインシデントの複数のフィールドに関連付けることができます。灰色のフィールドは、検出結果フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。これにより、セキュリティインシデントに追加されたフィールド値と、マッピングされていない残りの重要な検出結果情報の有無を視覚的に把握できます。ただし、[AWS Security Hub ソースフィールド (AWS Security Hub Source Fields)] セクションには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションのフィールドと互換性のないフィールドがいくつかあります。このような値をマッピングすると、SIR の作成時に値が表示されません。

      2. テキストとフィールドの組み合わせを追加できます。
        たとえば、[Finding name is ${name}$] といった具合です。[Finding name is] は手動で入力できますが、${name}$ は [AWS Security Hub ソースフィールド (AWS Security Hub Source Fields)] セクションからマッピングされます。
      3. ソースの検出結果フィールドを手動で入力して、ターゲットフィールドにマッピングできます。
        ソースの検出結果フィールドを手動でマッピングするには、${field name}$ 形式を使用します。たとえば、検出結果フィールドの [重大度] をマッピングする場合、形式は ${properties (severity)}$ です。
      この統合は、特定の観測事象サブタイプを分類します。AWS Security Hub 検出結果フィールドを SIR 観測事象フィールドにマッピングすると、ServiceNow AI Platform によって観測事象が自動分類されます。受信される AWS Security Hub 観測事象を SIR の観測事象タイプに一般的にマッピングする場合は、[観測事象] フィールドに AWS Security Hub フィールドをドラッグアンドドロップします。ただし、SIR の受信される AWS Security Hub 観測事象の観測事象タイプがわかっている場合は、SIR の特定の [観測事象タイプ (Observable Type)] フィールドにマッピングします。SIR の具体的な観測事象タイプの例には、[観測事象 (ドメイン名) (Observable(Domain name))]、[観測事象 (メールアドレス) (Observable(Email address))]、[観測事象 (IP アドレス (V4)) (Observable(IP address (V4)))]、および [観測事象 (ホスト名) (Observable(Host name))] が含まれます。

      AWS Security Hub の検出結果フィールド値が SIR セキュリティインシデントのフィールドに直接変換されない場合があります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。

    5. AWS Security Hub 検出結果からの新しいフィールドのフィールド変換を、セキュリティインシデントのフィールド値と一致するようにフォーマットするには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] ヘッダーの [ここをクリック] リンクをクリックします。
    6. フィールド変換をサポートするフィールドを変更するには、フィールド形式ボタン スクリプトフォーマットフィールド変換アイコンをクリックします。
      フィールドの翻訳をサポートしているフィールドは、[カテゴリ][構成アイテム]、および [優先度]です。たとえば、[カテゴリ] の横にある フィールド形式ボタン アイコンをクリックします。AWS Security Hub 検出結果のフィールド変換スクリプトエディターが開きます。
    7. スクリプトへの変更を入力し、[更新] をクリックして変更を保存し、 [マッピング] ページに戻ります。
      たとえば、カテゴリの場合はスクリプトエディターで次のように定義します。
      "<Incoming Security Hub finding Field Value>" : "<Category to assign to the Security Incident>".
      このマッピングにより、プロファイルが構成済みのカテゴリのみを使用するようになります。
    8. フィールド値を追加または削除して、マッピングを続行します。
      インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成するために受信した検出結果が満たす必要がある追加のクライテリアを定義することができます。
    9. [フィルタリングと集計] セクションに移動するには、[続行] をクリックします。

    次のタスク

    セキュリティインシデントを作成する検出結果を指定できるように、フィルター条件を定義して設定します。インシデント生成条件ビルダー ([フィルタリングと集計] セクション内) で同じフィールド値 ([マッピング] セクションで定義) を使用して、受信する検出結果がセキュリティインシデントの作成の際に満たす必要がある追加のクライテリアを定義することができます。