カスタムフィールドマッピングの構成

オーストラリアセキュリティ管理

Release

australia

ft:locale

ja-JP

ft:publication_title

オーストラリアセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

カスタムフィールドマッピングの構成

リリースバージョン: Australia

更新日 2026年03月12日

所要時間：6分

フィールドマッピングを使用すると、テキスト、CSV、JSON などのデータフィードの各フィールドがどのように解釈され、対応する観測事象にアサインされるかを構成できます。

始める前に

必要なロール：sn_sec_tisc.admin

手順

移動先すべて > ワークスペース > 脅威インテリジェンスセキュリティセンター > 統合.
選択脅威インテルフィード > すべてのフィード > テキスト.
[ 新しいソースの構成] を選択します。
必要に応じて、テキストフィードフォームの詳細を入力します。
詳細については、「新しい脅威インテリジェンスフィードの設定」を参照してください。
新しいフォームビューで、[構成] セクションの [データ解析メカニズム] フィールドにドリルダウンします。
データ解析メカニズムの詳細については、「新しい脅威インテリジェンスフィードの設定」を参照してください。
[ カスタムフィールドマッピング] オプションを選択します。
[ フィールドマッピング ] セクションに移動します。
[ 構成] を選択して、新しいデータソースのフィールドマッピングを追加します。
このセクションでは、サンプルデータの追加、フィールドマッピング、マッピングされたサンプルレコードのプレビューなどの 3 つのステップを実行します。
サンプルデータを追加するには、[ サンプルデータのロード] を選択します。
これにより、選択したオプションのサンプルデータが表示されます。アプリケーションでは、 # で始まる関連するデータの行と行のみがサンプルデータから除外されます。コメント識別子は、システムプロパティ sn_sec_tisc.feed_comment_identifiers で変更できます。
アプリケーションは、サンプルファイル (.txt、.csv、.json など) から、または設定されたフィード URL ( [詳細 ] セクションに入力されたフィード URL と認証情報) から直接、受信データのサンプルを取得します。これにより、フィールドマッピングを定義する前に、データの構造と内容をプレビューできます。
[ サンプルファイルをアップロード] または [ フィード URL からフィードデータ] を選択します。
このサンプルデータは、デフォルトで最初の 10 件のレコードをフェッチします。取得するレコードのこの合計数は、システムプロパティ [sn_sec_tisc.feed_field_mapping_sample_count] で変更できます。
リストビューには、生データの元の構造と書式を保持するコードエディターが表示されます。
[ 次へ ] を選択してフィールドマッピングを構成します。
ドロップダウンリストから [ データを解析するための区切り文字を設定する ] オプションを選択します。
テキストフィードを操作する場合、区切り文字はデータを個々のフィールドに正しく解析するために不可欠です。
このシナリオでは、テキストフィードは、サンプルテキストデータの各値を個別の列に区切る区切り文字としてパイプ演算子 (|) を使用します。この区切り文字を正しく識別して適用することは、正確なフィールドマッピングとデータ取り込みの成功を確認するために不可欠です。
テキストフィードの区切り文字としても正規表現 (RegEx) がサポートされているため、複雑なフィードデータを解析する際の柔軟性が向上します。JSON フィードや CSV フィードはサポートされません。

注:
CSV フィードの場合、カンマ (,) がデフォルトの区切り文字であり、JSON フィードには区切り文字は必要ありません。
[ 区切り文字を更新] を選択します。
フィールドマッピングのフィールドを追加するオプションが表示されます。
ドロップダウンリストから適切な値を選択して、フィールドマッピングの追加に進みます。
変換スクリプトを使用して、入力値を変換して正規化してから、観測事象にマッピングします。
専用のスクリプトハンドラーを使用して、同じソース列 (列 2 など) を [ 追加コンテキスト ] フィールドなどに、複数回マップできます。
重要:
文字列タイプの同じターゲット観測可能フィールドにマッピングされた複数のソースフィールド。文字列タイプのフィールドの参照リストについては、 sn_sec_tisc_observable_source テーブルを参照してください。

[追加コンテキスト]、[作成者]、[説明] などの観測事象フィールドタイプでは、複数のフィールドマッピングが可能です。マッピングを確認し、必要に応じて更新します。

同じソースフィールドを複数のターゲットフィールドに制限なくマッピングできます。
変換スクリプトを適用して、マッピング中のデータの処理方法および拡張方法をカスタマイズできます。
1. [ 変換スクリプトの有効化/無効化 ] アイコンを選択して、スクリプトを構成します。
  [ソースフィールドのスクリプトを構成 (Configure script for source field)] ダイアログボックスが表示されます。
2. [ソースフィールドのスクリプトを構成 (Configure script for source field)] ダイアログボックスの [変換スクリプトを有効にする] チェックボックスをオンにします。
3. スクリプトを追加または変更します。
  たとえば、入力フィールドに低、中、高などの値が含まれていて、これらの値を数値信頼性レベル (0 〜 100) にマッピングする場合は、[ 変換スクリプト ] を使用して入力値を変換し、観測事象の [信頼性 ] フィールドにマッピングできます。
  たとえば、入力フィールドに文字列値が含まれていて、これらの値を追加コンテキスト (観測事象タイプ) として文字列タイプにマッピングする場合は、変換スクリプトを使用して値を入力するか、変換スクリプトを使用せずに観測事象の [追加コンテキスト ] フィールドに値をマッピングすることができます。
  注:
  個々のマッピングレコードは独自のスクリプトをサポートしているため、ユーザーはすべてのマッピングにカスタム変換ロジックを定義できます。
4. [ 保存] を選択してスクリプトを保存し、更新されたターゲット値を取得します。
5. [ ソースフィールドのスクリプトを構成 ] ダイアログボックスを閉じて、次の手順に進みます。
[ 次へ ] を選択して、[ プレビュー ] セクションでフィールドマッピングをプレビューします。
サンプルフィールドマッピングをプレビューし、[ 保存] を選択します。
フィールドマッピングが正常に保存されたことを示す確認メッセージが表示されます。
サンプルフィールドマッピングの一環として、アプリケーションは、ユーザーがサンプルデータからマッピングした観測事象タイプ (IP アドレス v4 など) を自動的に識別します。このメカニズムにより、マッピングプロセスが簡素化され、入力に基づいて適切な観測可能タイプが確実にアサインされます。
複数のソースフィールドが [追加コンテキスト] などの同じ [観測事象] フィールドにマッピングされている場合、フィードの取り込み後、値はマッピングされた各フィールド (つまり [追加コンテキスト]) に新しい行で区切られて表示されます。新しい行に表示される観測事象列のサンプルスクリーンショットを次に示します。

重要:
フィールドマッピング統合実行:このフィードタイプに対して実行される統合実行では、保存されたフィールドマッピング構成が使用されます。これにより、受信データが一貫して解析され、構成中に定義された構造に基づいて正しい観測事象属性にマッピングされます。

注:
[ フィールドマッピングを編集 ] を選択してフィールドマッピングを編集し、必要に応じて必要な変更を加えます。編集を続行するかどうかを確認するアラートメッセージが表示されます。プロンプトを確認し、[ はい ] を選択して続行します。更新されたサンプルデータを使用してフィールドマッピングに必要な変更を行い、変更を保存します。
フィールドマッピングに加えられた編集は、このフィードの今後の統合実行に適用されます。
統合を実行する前に、変更後は必ずサンプルデータを検証して、解析が正しいことを確認してください。