相関ルールを設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • スケジュール済み注目イベントの取り込み用プロファイルを作成した後、対応する注目イベントを ServiceNow AI Platform セキュリティインシデントレスポンス セキュリティインシデントにマップするために、このプロファイルの Splunk Enterprise Security 相関ルール名を選択します。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    ServiceNow AI Platform インスタンスで利用可能な相関ルールを表示して、セキュリティインシデントを取り込んで作成する注目イベントタイプを確認します。相関ルールを選択します。このフォームのリストから 1 つ以上の注目イベントを選択できます。

    手順

    1. インシデントプロファイル定義プロセスの前のセクションに進まない場合は、定義しているプロファイルにアクセスします。
      1. [ すべて] >Splunk ES [イベントプロファイル] に移動します。
      2. 定義を続行するプロファイルを選択します。
      3. 進捗状況バーで [注目イベントの選択 ] を選択します。
    2. 特定の相関ルールを選択するには、[ 選択されたすべての相関ルール ] チェックボックスをクリアします。
      このチェックボックスをオンにすると、アクティブなプロファイルの Splunk ES から最新の相関ルールが取得されます。
    3. [ 相関ルールリスト ] 検索フィールドに、 Splunk ES ポータルで作成された相関ルール名を入力します。
    4. 相関ルールを選択します。
    5. 右矢印 (>) を使用して、ルールを [利用可能] 列から [選択済み] 列に移動します。
      注:
      相関ルールは、アクティブなプロファイル全体で一意である必要があります。アクティブなプロファイルに関連付けられた相関ルールを別のアクティブなプロファイルに対して選択することはできません。ルールを再利用するには、現在関連付けられているプロファイルを非アクティブ化します。
      Splunk ES イベントプロファイル:注目イベントの選択
    6. [続行] を選択します。

    次のタスク

    注目イベントのマッピング