フィルターと集計基準の定義

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • フィルター条件を定義および設定して、セキュリティインシデントを作成する受信 CrowdStrike Next-Gen SIEM 検出を指定します。インシデントを作成する代わりに、受信検出をオープンセキュリティインシデントに追加できるように、追加の検出フィールド基準を定義することもできます。

    フィルタリング条件を設定

    フィルタリング条件が一致した場合にのみセキュリティインシデントが作成されるように、フィルタリング条件を設定します。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    このタイプのフィルタリングは、セキュリティインシデントを分離し、作成するセキュリティインシデントの数を制限するのに役立ちます。追加のフィルタリング基準を設定すると、クエリまたはトリガーされた検出構成を変更することなく、必要な検出のみが取り込まれます。

    手順

    1. セキュリティインシデントを作成するために受信 CrowdStrike 次世代検出が満たす必要がある基準を定義するには、[ 条件に基づいてフィルター] を選択します。

      [フィルター条件] の最初のフィールドのオプションは、取り込んだ検出の [CrowdStrike 次世代サンプル検出の取り込み] セクションに表示されるフィールドと一致します。これらのフィールドは動的であり、取り込む検出に応じて変化します。入力する基準は大文字と小文字を区別します。定義した基準が検出の値と一致していることを確認します。

      複数の値を持つ次のフィールドには、フィルター条件 detection_id を使用します。
      • composite_id
      • host_names
      • seconds_to_resolved
      • seconds_to_triaged

      フィルター条件は文字列のみ取得できるため、上記のフィールドには detection_id フィルター条件を使用して、データが正しくフィルタリングされるようにする必要があります。

    2. 条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。
    3. 条件を追加するには、[AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
    4. 2 つ目のフィルター条件を設定するには、[新しい基準] をクリックします。

    アグリゲーション条件の定義

    類似の重複する可能性がある検出を作成するのではなく、既存の SIR セキュリティインシデントに受信検出を集計する追加のインシデント集計基準を定義します。各プロファイルのフィールド一致値基準を使用すると、この追加の集計により、関連するすべての検出データを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    新しいインシデントが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しいインシデントは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.ingestion_profile_admin ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計インシデントを表示できます。

    セキュリティインシデントのすべての集計済みインシデントは、[ CrowdStrike Next-Gen SIEM 集計済みインシデント] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、インシデントが既存のセキュリティインシデントに追加される理由を理解するのに役立ちます。

    手順

    1. 新しいインシデントを作成する代わりに受信した CrowdStrike Next-Gen SIEM 検出をオープンセキュリティインシデントに追加できるようにする追加のインシデントフィールド基準を定義するには、[ 集計条件] を選択します。
    2. [値が一致するインシデントフィールド (Incident fields with matching values)] フィールドに、ServiceNow AI Platform インスタンスの既存のセキュリティインシデントで照合するフィールド値を入力します。
      集計基準が満たされ、この受信インシデントを既存のセキュリティインシデントに追加できるように、複数選択入力フィールドで選択したすべてのフィールド値が一致する必要があります。この選択は、複数のフィールド値を持つ可能性がある [観測事象] や [構成アイテム] などのフィールドがマッピングされる AND 条件を意味します。値のサブセットのみが一致した場合、 CrowdStrike Next-Gen SIEM インシデント集計条件は満たされず、新しいセキュリティインシデントが作成されます。
    3. 複数のフィールド一致条件を追加するには、[新しい基準を追加] をクリックします
      定義した複数選択フィールド条件のいずれかが満たされると、集計が行われます。この選択は OR 条件を意味します。
    4. 新しいインシデントがセキュリティインシデントに追加されたときにその作業メモを更新するには、[新規インシデントの作業メモを記録] を選択します。

      作業メモには、新しいインシデントが追加されたことが記録され、インシデントの詳細へのリンクが含まれています。作業メモの記録では、マッピングセクションの作業メモフィールドに追加した詳細も更新されます。

    5. スケジュールを設定するには、[続行] をクリックします。

    次のタスク

    インシデントデータ、およびプロファイルの基準に一致する取り込み済みインシデントを取得するスケジュールを設定します。