受信データ除外ルールの作成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:3分

    • 任意のタイプのデータまたはあらゆる種類の受信ソースレコードデータをフィルタリングするために、受信データ除外ルールを作成します。

    始める前に

    このアプリケーションは、STIX データソースを含む複数の脅威インテリジェンスフィードの統合をサポートします。関連するデータのみが取り込まれるようにするには、カスタマイズ可能な除外ルールを適用する必要があります。

    必要なロール:sn_sec_tisc.admin

    このタスクについて

    除外ルールが作成され、以降のステップを処理するためにソースレコードに適用されます。ベースシステムは、取り込まれた観測事象、インジケーターデータ、またはエンティティ/オブジェクトをフィルタリングするための事前定義されたルールを使用して、ユーザーにサンプルフィルタリングルールを提供します。

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > アドミニストレーション.
    2. にドリルダウン ルールエンジン > 受信データ除外ルール.
    3. [ 新規 ] をクリックして除外ルールを定義します。
      [新しい受信データ除外ルールの作成 (Create New Inbound Data Exclusion Rules)] ページが表示されます。
    4. フォームのフィールドに入力します。
      表 : 1. 除外ルールの定義
      フィールド 説明
      名前 新しい除外ルールの名前。
      説明 除外ルールの簡単な説明。
      順番 除外ルールの優先度。このフィールドは、2 つ以上のルールがトリガー条件を共有する場合に除外ルールが実行される順序を示します。番号が最も小さい除外ルールの優先度が最も高くなります。

      操作の順序を設定するには、値を入力します。たとえば、100、200、300 などです。

      ベースシステムの除外ルールのデフォルト値は 100 です。
      データソース 除外ルールを適用するフィードを選択します。
      テーブル フィルターを適用するテーブルのタイプを選択します。たとえば、観測事象ソース、インジケーターソース、オブジェクトソースなどです。
      フィルタータイプ (選択したテーブルが [観測事象ソース] の場合のみ) フィルタータイプには、フィルターを適用できる対象に基づいて 2 つのオプションがあります。
      • 条件に基づいてフィルター (Filter based on Condition)
      • リストに基づいてフィルター
      フィルタータイプ (条件に基づいてフィルター ) 条件ビルダーのフィルター条件。この条件はソーステーブルに基づいて決まります。たとえば、インジケーターソースとオブジェクトソースのフィルタータイプは、[条件に基づいてフィルター] のみです。

      条件を追加するには、[AND] または [OR] をクリックします。[AND] を選択した場合は、すべての条件に一致する必要があります。[OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。2 つ目のフィルター条件を設定するには、[新しい条件セット] をクリックします。
      フィルタータイプ (リストに基づいてフィルター ) 受信観測事象が選択したリスト内のエントリーと一致する場合、フィルタリングされます。
      注:
      これらの除外ルールは、インポートインテリジェンスを使用したデータインポートには適用されません。使用可能なオプションは、[許可リスト]、[拒否リスト]、および [ウォッチリスト] です。
      除外ルールによって除外されたレコードは、次のセクションで表示できます。
      1. フィルター済みの観測事象レコード:観測事象レコードをフィルタリングして一覧表示します。
      2. フィルター済みのインジケーターレコード:インジケーターレコードをフィルタリングして一覧表示します。
      3. フィルター済みのオブジェクトレコード:オブジェクトレコードをフィルタリングして一覧表示します。
      注:
      ソースレコードに追加されたタグに基づいて除外ルールを適用するには、フィルター条件ビルダーで TISC タグ オプションを選択します。