Secureworks チケットフィールドの セキュリティインシデントレスポンスフィールドへのマッピング

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:10分

    • 個々のチケットフィールドまたはイベントフィールドを ServiceNow AI Platform SIR セキュリティインシデントのフィールドにマッピングします。

    チケットフィールドのマッピング

    sn_si.admin ロールを持つユーザーとして、左側の [サンプルチケット] セクションからフィールドを使用し、[SIR インシデントフィールドマッピング] 列の [セキュリティインシデント] フィールドにマップします。左側からチケットフィールドまたはイベントフィールドをドラッグして、右側の [SIR インシデントマッピング] セクションにドロップして、マッピング構成を編集します。右側のマッピングで、[受信チケット] フィールドを [送信セキュリティインシデント] フィールドに関連付けることができます。

    1. フォームの左側からフォームの右側のセキュリティインシデントのフィールドにフィールド値をマッピングするには、フォームの左側で青色のフィールド名をクリックしたままにします。
    2. [入力式] 列にフィールド名を手動で入力するか、フィールド名をドラッグアンドドロップできます。たとえば、description[セキュリティインシデント] 列のフィールド名の横にある [入力式] 列のフィールドにドロップします。
      フィールド値が [入力式] 列に表示されます。次の画像で、categoryClass をセキュリティインシデントの [カテゴリ] フィールドにマップします。
      Secureworks CTP:プロファイルの作成:マッピング
      注:
      [入力式] セクションに手動でイベントフィールド名を入力する場合は、マップされるフィールドの名前の前に ${Event:eventfield}$ というプリフィックスを追加する必要があります。

      マッピングプロセスでチケットフィールドまたはイベントフィールドが見落とされたり、重複したりしないようにするために、フィールドは色分けされています。マップされていない残りのフィールドはすべて青で表示されるのに対し、すでにマップされたフィールドはグレー表示されるため、チケットフィールドの色分けは、マップされたチケット値の追跡に役立ちます。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なチケット情報を視覚的に把握できます。

      左側のライトブルーのフィールドは、チケットフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信チケットフィールドまたは受信イベントフィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。この色分けは、マッピングを追跡するのに役立ちます。

    3. フォームの右側のセキュリティインシデントで表示されるデフォルトフィールドにフィールドを追加するには、次のステップを実行します。
      1. グリッドの下部にある [SIR インシデントフィールドマッピング] セクションのフォームの右側で、プラス (+) アイコンをクリックします。新しいフィールドが表示されます。
      2. [セキュリティインシデント] 列で表示されている選択リストを展開し、フィールドを選択します。
        新しいフィールドの展開された選択リストでは、一部のフィールドが網掛けされています。次の図では、セキュリティインシデントにマッピングされているため、カテゴリのバックグランドがグレーになっています。フォームの左側のチケットフィールドの色分け同様、セキュリティインシデントフィールドのこの色分けも、すでにマップされた SIR インシデントフィールドを追跡するのに役立ちます。
        Secureworks CTP:プロファイルの作成:マッピング選択
        注:
        同じセキュリティインシデントに複数の観測事象を表示できるため、[観測事象] フィールドを異なる値で複数回マップできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、インシデントをプレビューするときに、フィールドに値がないことを示すエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できる選択リストがあり、選択リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. または、新しい行の [検索] フィールドに値を入力します。
      4. フォームの左側でチケットフィールドを選択し、右側の適切なセキュリティインシデントフィールドにドラッグアンドドロップします。
    4. [SIR インシデントフィールドマッピング] セクションのフィールド名の横にある - アイコンを使用してフィールドを削除します。
    5. フィールドの値をマッピングに追加するか、削除して、マッピングを続行します。

    フォーマットフィールド変換

    特定の場合、チケットフィールドは SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。たとえば、スクリプトエディターを使用すると、 [マルウェアアラート] と [ウイルス感染]のカテゴリ値でソースカテゴリのフィールド値が異なる可能性がありますが、フォーマットフィールド変換機能を使用して、SIR セキュリティインシデントの [カテゴリ] フィールドで両方の値を一般的な悪意のあるコードアクティビティに変換することができます。

    スクリプトエディターを使用するには、[カテゴリ] フィールドの横にある {} アイコンをクリックします。スクリプトエディターが表示されます。
    Secureworks CTP:プロファイルの作成:スクリプトエディター

    スクリプトへの変更を入力し、[更新] をクリックして変更を保存し、 [マッピング] ページに戻ります。

    インシデント生成条件

    マッピングセクションが完了すると、フィルター条件を設定して、セキュリティインシデントを作成するチケットとフィルタリングで除外されるチケット (低優先度の違反など) を指定できます。インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成する際に受信チケットを満たす必要がある追加の条件を定義することができます。インシデント生成条件を設定するには、次のステップを実行します。
    1. フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] チェックボックスをオンにして、オプションを有効にします。

      フィルター条件ビルダーが表示されます。これらのフィルターを使用して、フィールドで説明されている特定の条件に一致するセキュリティインシデントを作成します。

      フィルター条件ビルダーの最初のフィールドの選択リストオプションは、取り込まれたチケットの [サンプルチケットの取り込み] セクションに表示されるフィールドと一致します。これらのフィールドは動的で、取り込むチケットに応じて変更されます。入力する条件は大文字と小文字が区別され、Secureworks CTP チケットの値と正確に一致する必要があります。フィルターフィールドに入力する値が不明な場合、Secureworks CTP コンソールに戻り、キーワードについてチケットを確認することができます。

      注:
      worklogsdevicesattachmentswatchersavailableactionscloseCodes の各チケットフィールドには複数の値を設定できます (値はアレイに格納されます)。フィルター条件は文字列のみ取得できるため、これらのフィールドに包含フィルター条件を使用して、データが正確にフィルタリングされるようにする必要があります。
    2. 条件ビルダーの選択リストとフィールドを使用して、最初の行のフィルターを設定します。
    3. 条件を追加するには、フィールドの右側にある [AND] または [OR] をクリックします。
      • [AND] を選択した場合は、すべての条件に一致する必要があります。
      • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
    4. (オプション) 2 番目の行で、2 番目のフィルター条件を設定します。

      この種のインシデント生成条件フィルタリングで、チケットを絞り込み、基本的なルールまたはフィルターを変更することなく、作成する不要なセキュリティインシデントの数を制限することができます。追加のフィルタリング条件を設定する場合、すべての条件に一致するチケットのみがセキュリティインシデントにマップされます。

    類似のチケットを処理して重複インシデントを防止するチケット集計基準

    類似の重複する可能性があるインシデントを作成するのではなく、既存の SIR セキュリティインシデントに受信チケットを集計する追加のチケット違反集計基準を定義します。この追加の集計機能では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのチケットデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。基準を設定するには、以下のステップを実行します。
    1. フォームで [チケット集計基準] セクションにスクロールして、[集計条件] チェックボックスをオンにして、このオプションを有効にします。

      [値が一致するインシデントフィールド] 列が表示されます。これらのフィールド名は、SIR セキュリティインシデントで構成されたカスタムフィールドを含むセキュリティインシデントのフィールドです。

    2. [利用可能] リストから、Now Platform の既存のセキュリティインシデントで照合するフィールド値を選択し、[選択済み] リストに移動させます。

      この受信チケットを既存のセキュリティインシデントに追加するには、選択するすべてのフィールド値が一致する必要があります。これには、複数のチケットフィールド値がマッピングされている可能性がある [観測事象] や [構成アイテム] などのフィールドが含まれます。すべての値が一致している必要があります。値のサブセットのみが一致した場合、チケット集計条件は満たされず、新しいセキュリティインシデントが作成されます。複数値フィールドのマッピングについては、以下のスクリーンショットを参照してください。


      Secureworks CTP:プロファイルの作成:マッピング:集計

      新しいチケットが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しいチケットは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計チケットを表示できます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、これらのチケットが既存のセキュリティインシデントに集計される理由を理解するのに役立ちます。このタブがセキュリティインシデントで表示されない場合は、[関連リンク] の下のレコードの左側にスクロールし、[すべての関連リストを表示] リンクをクリックします。

      注:
      [Secureworks 集計チケット] 関連リストは、ベースシステムでは使用できません。[関連リスト] のレイアウトを設定し、他の関連リストに明示的に含める必要があります。
    3. セキュリティインシデントで最近追加された新しいチケットの作業メモを記録するには、このチェックボックスをオンにしてこのオプションを有効にします。作業メモには、新しいチケットが追加され、チケットの詳細へのリンク、およびマッピングセクションの作業メモフィールドに追加されたその他の詳細が記録されます。

      Secureworks CTP チケットからセキュリティインシデントのフィールドに値が正常にマッピングされました。また、インシデント生成フィルタリング基準を使用してセキュリティインシデントの作成を制限する追加条件も構成しました。また、チケットフィールド値が構成された集計基準に一致する場合は、追加されたチケットが既存のセキュリティインシデントに集計されました。

    4. [続行] をクリックして、プロファイル設定を続行します。次のステップでは、SIR セキュリティインシデントにマッピングしたフィールドをプレビューします。