マップ検出フィールド

  • リリースバージョン: Australia
  • 更新日 2026年06月17日
  • 所要時間:9分

    • マッピングされたデータを使用して検出を作成できるように、個々の CrowdStrike 次世代検出フィールドを SIR セキュリティインシデントのフィールドにマッピングします。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    手順

    1. マッピングページの [CrowdStrike 次世代フィールドマッピング (CrowdStrike Next-Gen Field Mapping)] セクションで、いずれかのサンプル取り込み方法を選択します。
      表 : 1. サンプルの取り込み方法
      フィールド 説明
      すべてのデフォルトの検出およびイベントフィールド この取り込み方法を使用して、すべての検出とイベントフィールドの静的リストを表示します。この方法には、値のないデフォルトのフィールド名のみが含まれます。

      この情報を使用して SIR フィールドとマッピングできます。
      最近の検出を取得 この取り込み方法を使用して、最新の検出とエンティティデータをインポートします。

      CrowdStrike 次世代検出に複数のアラートが含まれている場合、検出の一部である最も古いアラートがマッピングセクションに表示されます。取り込み中も、最も古いセキュリティアラートフィールド値が使用されます。

      5 つのサンプル検出を取り込むことができます。

      サンプル検出フィールド値は、プロファイルがサンプル検出を取り込むときに入力されます。これらの検出を SIR インシデントターゲットフィールドにマッピングできます。[ディスカバリー] フィールドと値は個別のタブとして表示されます。
    2. セキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のアクションを実行します。
      1. [SIR インシデントターゲットフィールド] セクションで、[ 別のフィールドをマッピング] ボタンを選択します。[別のフィールドをマッピング (Map another field)] ボタンをクリックします。
        SIR フィールドのリストが表示され、表示する新しいフィールドのフィールドを選択できます。
      2. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できます。たとえば、[観測事象] フィールドは異なる値で複数回マッピングできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、このフィールドは複数の値をサポートしていないというエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. [検出およびイベントフィールド] セクションから、フィールドをドラッグアンドドロップして新しいフィールドにマッピングします。
      4. フィールドに対応するチェックボックスをオンにすると、CrowdStrike で行われた新規または更新された変更により、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        注:
        ベースシステムでは、SIR にリンクされた新しいアラートに関連する CrowdStrike 次世代の更新を受信するために、システムプロパティ sn_sec_cs_ngsiem.detection_updates はデフォルトで False に設定されています。
        • デフォルトでは、[影響を受けるユーザー]、[構成アイテム]、および [観測可能] フィールドはオンになっています。つまり、新しい観測可能項目、関連する構成アイテム、または影響を受けるユーザーがインシデントに追加されるたびに、その情報が自動的に抽出され、そのポーリング間隔中にセキュリティインシデントレスポンス (SIR) のそれぞれの関連リストに入力されます。
        • 取り込み後、セキュリティインシデントレコードには、一致する CMDB レコードまたは ID レコードが見つからない場合は [構成アイテム] 関連リストに [一致しない CI] が表示され、専用の関連リストに [一致しない影響を受けるユーザー] が表示されます。これにより、インシデントのライフサイクル全体を通じて影響を受けるエンティティが完全に可視化されます。
        • その他のフィールドについては、CrowdStrike 内の CrowdStrike 検出レコードに加えられた新規または更新された変更のフィールドに対応するチェックボックスを選択する必要があります。これにより、それぞれの SIR インシデントデータが新しい検出データで自動的に更新されます。
        重要:
        既存のデータを上書きすると、アナリストのデータが不安定になり、セキュリティインシデントのフィールド値によっても設定されている他の自動化も影響を受ける可能性があるため、この機能を選択する前にデューデリジェンスを行う必要があります。そのため、上書き機能を選択する前にデューデリジェンスを行うことが非常に重要です。
    3. フィールドを削除するには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションの入力式フィールドの横にある [削除] ボタン [アイテムを削除] ボタンを使用します。
    4. [検出フィールド] および [イベントフィールド] セクションのフィールド値を [SIR インシデントターゲットフィールド] セクションのフィールドにマッピングするには、次のいずれかのアクションを使用します。
      1. [検出] フィールド名 (例:id) をドラッグして、[SIR インシデントターゲットフィールド] 列のフィールド名の横にドロップします。

        [検出およびイベントフィールド] セクションの任意の値を [SIR インシデントターゲットフィールド] セクションのフィールドと照合できます。マッピングプロセスで検出フィールドを見落としたり重複したりしないように、フィールドは色分けされています。ライトブルーのフィールドは、検出フィールドがまだ未選択で、セキュリティインシデントにマッピングされていないことを示します。受信検出フィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なインシデント情報を視覚的に把握できます。

      2. テキストとフィールドの組み合わせを追加できます。
        たとえば、 検出名は ${Detections: name}$ です。ここでは、 検出名 を手動で入力できますが、 ${Detections: name}$ は [検出フィールドとイベントフィールド] セクションからマッピングされます。
      3. ソース検出またはイベントフィールドを手動で直接入力し、ターゲットフィールドにマッピングできます。
        • ソース検出フィールドを手動でマッピングするには、${field name}$ 形式を使用します。たとえば、検出フィールド [重大度] をマッピングする場合の形式は ${Detections: severity}$ です。
        • ソースイベントフィールドを手動で追加するには、 ${events names: events fields}$ 形式を使用します。たとえば、イベントフィールド [イベントセキュリティアラートの説明] をマッピングする場合、形式は ${Events: description}$ です。
      この統合は、特定の観測事象サブタイプを分類します。CrowdStrike 次世代フィールドを SIR 観測事象フィールドにマッピングすると、 ServiceNow AI Platform によって観測事象が自動的に分類されます。受信する CrowdStrike 次世代観測事象を SIR の観測事象タイプに汎用的にマッピングする場合は、[観測事象] フィールドに [検出] フィールドと [イベント] フィールドをドラッグアンドドロップします。ただし、受信 CrowdStrike 次世代観測事象の観測事象タイプが SIR であることを認識している場合は、具体的に [ SIR 観測事象タイプ] フィールドにマッピングします。SIR の具体的な観測事象タイプの例には、[観測事象 (ドメイン名) (Observable(Domain name))]、[観測事象 (メールアドレス) (Observable(Email address))]、[観測事象 (IP アドレス (V4)) (Observable(IP address (V4)))]、および [観測事象 (ホスト名) (Observable(Host name))] が含まれます。

      受信 CrowdStrike 次世代フィールドに MITRE-ATT&CK 情報が含まれている場合は、それを [ MITRE-ATT&CK テクニック] フィールドにマッピングします。受信 CrowdStrike 次世代フィールドに、 MITRE-ATT&CK テクニック ID またはテクニック名が含まれていることを確認します。

      CrowdStrike Next-Gen の検出フィールド値は、SIR セキュリティインシデントのフィールドに直接変換されない場合があります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。

    5. セキュリティインシデントのフィールド値と一致するように、CrowdStrike 次世代検出からの新しいフィールドのフィールド変換をフォーマットするには、[SIR インシデントターゲットフィールド] ヘッダーの [ここをクリック] リンクを選択します。
    6. フィールド変換をサポートするフィールドを変更するには、[ フィールド形式] ボタン スクリプト形式フィールド変換アイコンを選択します。
      フィールド変換をサポートするフィールドは、[ 影響を受けるユーザー]、[ 構成アイテム]、および [優先度] です。たとえば、[カテゴリ] の横にある フィールド形式ボタン アイコンをクリックします。CrowdStrike 次世代フィールド変換スクリプトエディターが開きます。
    7. スクリプトへの変更を入力し、[ 更新 ] を選択して変更を保存し、[マッピング] ページに戻ります。
      たとえば、カテゴリの場合はスクリプトエディターで次のように定義します。
      "<Incoming CrowdStrike Detection Field Value>" : "<Category to assign to the Security Incident>".
      このマッピングにより、プロファイルが構成済みのカテゴリのみを使用するようになります。
    8. フィールド値を追加または削除して、マッピングを続行します。
      検出生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成するために受信検出が満たす必要がある追加の条件を定義することができます。
    9. [フィルタリングと集計] セクションに移動するには、[ 続行] を選択します。

    次のタスク

    フィルター条件を定義して設定することで、セキュリティインシデントを作成する検出を指定できます。検出生成条件ビルダー ([フィルタリングと集計] セクション内) で同じフィールド値 ([マッピング] セクションで定義) を使用して、セキュリティインシデントを作成するために受信検出が満たす必要がある追加の条件を定義することができます。