インシデントフィールドのマッピング

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:8分

    • Cortex XSIAM インシデント、アラート、およびイベントフィールドを SIR インシデントターゲットフィールドにマッピングします。

    始める前に

    必要なロール:sn_si.admin、sn_si.ingestion_profile_admin

    手順

    1. [フィールドマッピング] セクションでいずれかのサンプル取り込み方法を選択します。
      表 : 1. サンプルの取り込み方法
      フィールド 説明
      すべてのデフォルトのインシデントおよびアラートフィールド この取り込み方法を使用して、すべての [インシデント]、[イベント]、および [アラート] フィールドの静的リストを表示します。この方法には、値のないデフォルトのフィールド名のみが含まれます。
      最新のインシデントを取得 最新のインシデントとアラートをインポートするには、この取り込み方法を使用します。

      XSIAM インシデントに複数のアラートが含まれている場合は、インシデントの一部である最も古いアラートがマッピングセクションに表示されます。取り込み中も、最も古いセキュリティアラートフィールド値が使用されます。

      5 つのサンプルインシデントを取り込むことができます。

      サンプルフィールド値は、プロファイルがサンプルインシデントを取り込むときに入力されます。これらのインシデントを [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] にマッピングできます。インシデントのフィールドと値は個別のタブとして表示されます。
    2. セキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のアクションを実行します。
      1. [SIR インシデントターゲットフィールド] セクションの [ 別のフィールドをマッピング] ボタン を選択します。
        SIR フィールドのリストが表示され、そこから新しいフィールドを選択できます。
      2. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できます。たとえば、[観測事象] フィールドは異なる値で複数回マッピングできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、このフィールドは複数の値をサポートしていないというエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. [インシデントおよびアラートフィールド] セクションから、フィールドをドラッグアンドドロップして新しいフィールドにマップします。
      4. フィールドに対応するチェックボックスをオンにすると、XSIAM で行われた新規または更新された変更により、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        注:
        ベースシステムでは、SIR にリンクされている新しいアラートに関連する XSIAM 更新を受信するために、システムプロパティ sn_sec_pan_xsiam.incident_updates はデフォルトで False に設定されています。
        • デフォルトでは、[影響を受けるユーザー]、[構成アイテム]、および [観測可能] フィールドはオンになっています。つまり、新しい観測可能項目、関連する構成アイテム、または影響を受けるユーザーがインシデントに追加されるたびに、その情報が自動的に抽出され、そのポーリング間隔中にセキュリティインシデントレスポンス (SIR) のそれぞれの関連リストに入力されます。
        • 取り込み後、セキュリティインシデントレコードには、一致する CMDB レコードまたは ID レコードが見つからない場合は [構成アイテム] 関連リストに [一致しない CI] が表示され、専用の関連リストに [一致しない影響を受けるユーザー] が表示されます。これにより、インシデントのライフサイクル全体を通じて影響を受けるエンティティが完全に可視化されます。
        • その他のフィールドについては、XSIAM 内の XSIAM インシデントレコードに加えられた新規または更新された変更のフィールドに対応するチェックボックスを選択する必要があります。これにより、それぞれの SIR インシデントデータが新しいインシデントデータに自動的に置き換えられます。
        重要:
        既存のデータを上書きすると、アナリストのデータが不安定になり、セキュリティインシデントのフィールド値によっても設定されている他の自動化も影響を受ける可能性があるため、この機能を選択する前にデューデリジェンスを行う必要があります。そのため、上書き機能を選択する前にデューデリジェンスを行うことが非常に重要です。
    3. フィールドを削除するには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションの入力式フィールドの横にある [削除] ボタン [アイテムを削除] ボタンを使用します。
    4. [インシデントおよびイベントフィールド] セクションのフィールド値を [SIR インシデントターゲットフィールド] セクションのフィールドにマッピングするには、次のいずれかのアクションを使用します。
      1. [インシデント] フィールド名 (ID など) をドラッグし、[SIR インシデントターゲットフィールド] 列のフィールド名の横にドロップします。

        [インシデント]、[イベント]、および [アラート] フィールドセクションの任意の値を [SIR インシデントターゲットフィールド] セクションのフィールドと照合できます。マッピングプロセスでインシデントフィールドを見落としたり重複したりしないように、フィールドは色分けされています。ライトブルーのフィールドは、インシデントフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信インシデントフィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なインシデント情報を視覚的に把握できます。

      2. テキストとフィールドの組み合わせを追加できます。
        たとえば、 インシデント名は ${Incidents: name}$ です。ここでは、${Incidents: name}$ は [インシデントとイベントフィールド] セクションからマッピングされますが、インシデント名は手動で入力できます。
      3. ソースの [インシデント] フィールドまたは [イベント] フィールドを手動で入力してターゲットフィールドにマッピングできます。
        • ソースインシデントフィールドを手動でマッピングするには、${field name}$ 形式を使用します。たとえば、インシデントフィールド [重大度] をマッピングする場合の形式は ${Incidents: severity}$ です。
        • [インシデント]、[イベント]、および [アラート] フィールドを手動で追加するには、 ${Source: field}$ 形式を使用します。たとえば、 ${Incidents: incident_name}$ です。
      この統合は、特定の観測事象サブタイプを分類します。Cortex XSIAM フィールドを SIR 観測事象フィールドにマッピングすると、観測事象が自動分類されます。受信 Cortex XSIAM 観測事象を観測事象タイプに汎用的にマッピングする場合は、[観測事象] フィールドに [インシデント] フィールドと [イベント] フィールドをドラッグアンドドロップします。ただし、受信する Cortex XSIAM 観測事象の観測事象タイプを認識している場合は、具体的に [観測事象タイプ] フィールドにマッピングします。の特定の観測事象タイプの例としては、観測事象 (ドメイン名)、観測事象 (メールアドレス)、観測事象 (IP アドレス (V4))、観測事象 (ホスト名) などがあります。

      Cortex XSIAM のインシデントフィールド値は、SIR セキュリティインシデントのフィールドに直接変換されない場合があります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。

    5. セキュリティインシデントのフィールド値と一致するように、Cortex XSIAM インシデントの新しいフィールドのフィールド変換をフォーマットするには、[SIR インシデントターゲットフィールド] ヘッダーの [ここをクリック] リンクを選択します。
    6. フィールド変換をサポートするフィールドを変更するには、[ フィールド形式] ボタン スクリプト形式フィールド変換アイコンを選択します。
      フィールド変換をサポートするフィールドは、[ 影響を受けるユーザー]、[ 構成アイテム]、および [優先度] です。たとえば、[カテゴリ] の横にある フィールド形式ボタン アイコンをクリックします。Cortex XSIAM フィールド変換スクリプトエディターが開きます。
    7. スクリプトへの変更を入力し、[ 更新 ] を選択して変更を保存し、[マッピング] ページに戻ります。
      たとえば、カテゴリの場合はスクリプトエディターで次のように定義します。
      "<Incoming Cortex XSIAM Field Value>":"<Category to assign to the Security Incident>".
      このマッピングにより、プロファイルが構成済みのカテゴリのみを使用するようになります。
    8. フィールド値を追加または削除してマッピングを続行します。
      インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成するために受信インシデントが満たす必要がある追加の条件を定義することができます。

      インシデントフィールドを SIR インシデントターゲットフィールドにマッピング

    9. [続行] を選択します。

    次のタスク

    フィルター条件を定義して設定し、セキュリティインシデントを作成するインシデントを指定します。インシデント生成条件ビルダー ([フィルタリングと集計] セクション) で同じフィールド値 ([マッピング] セクションで定義) を使用して、セキュリティインシデントを作成するために受信インシデントが満たす必要がある追加の条件を定義することができます。

    詳細については、「フィルターと集計基準の定義」を参照してください。