注目イベントのマッピング

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:12分

    • 注目イベントフィールドマッピングのステップでは、注目イベントから個々のイベントフィールドを (ServiceNow AI Platform セキュリティインシデントレスポンスSIR) セキュリティインシデントのフィールドにマップします。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    マッピンググリッドは、相関ルールの選択で選択した注目イベントタイプに合わせてカスタマイズできます。マップされていない残りのフィールドはすべて青で表示されるのに対し、すでにマップされたフィールドはグレー表示されるため、イベントフィールドの色分けは、マップされたイベント値の追跡に役立ちます。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なイベント情報を視覚的に把握できます。

    フォームの左側にある [注目イベントサンプルの取り込み] 列から、右側の [SIR インシデントフィールドマッピング] 列のセキュリティインシデントフィールドに最大 5 つの注目イベントをマッピングします。

    フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。セキュリティインシデントレスポンスフォームに入力する通常重要なフィールドであるデフォルトのフィールドが表示されます。ただし、[+] および [-] ボタンを使用して、これらのフィールドを削除し、追加のフィールドを表示することができます。フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。フィールドをカスタマイズすると、SIR セキュリティインシデントのデフォルトのマッピンググリッドに表示されていない Splunk フィールドをマッピングできます。

    手順

    1. マッピングフォームが表示されない場合は、進捗状況バーの [ マッピング ] を選択します。
    2. 取り込みがスケジュールされているプロファイルの場合は、 [注目イベントサンプルの取り込み] の下にある [サンプルデータをフェッチ] をクリックして、Splunk Enterprise コンソールから選択した相関ルールに対応する最新のサンプル注目イベントをプルします。
      注:
      最新のサンプル注目イベントをプルするか、注目イベントマッピングエクスペリエンスに使用する特定の注目イベントの一意の注目イベント ID を指定できます。

      注目イベントのフィールドと値の結果は、個別のタブとして表示されます。最大 5 つの注目イベントを取り込むことができます。

      サンプル注目イベントのプルには少し時間がかかる場合があります。トランザクションが機能していることを示すメッセージが画面の上部に表示されます。

      取り込みプルの完了後に、取り込まれた注目イベントまたはインポートされたサンプルイベントのフィールド名値のペアがこのフォームの左側に表示されます。これらの値は、フォームの [SIR インシデントフィールドマッピング] 側のセキュリティインシデントフィールドにマッピングする値です。

    3. フォームの左側からフォームの右側のセキュリティインシデントのフィールドにフィールド値をマッピングするには、フォームの左側で青色のフィールド名をクリックしたままにします。
    4. フィールド名 ( rule_nameなど) をドラッグして、[セキュリティインシデント] 列のフィールド名の横にある [入力式] 列のフィールドにドロップします。

      矢印で表示される値をドラッグアンドドロップします。

      フィールド値が [入力式] 列に表示されます。次の画像では、 rule_name セキュリティインシデントの [簡単な説明 ] フィールドにマップされています。ただし、左側から右側のフィールドまでの任意の値を一致させることができます。プレビューステップで、セキュリティインシデントの値が正しくマッピングされていることを確認します。

      マッピングプロセスでイベントフィールドが見落とされたり重複したりしないように、フィールドは色分けされています。左側のライトブルーのフィールドは、注目イベントフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信注目フィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。

      灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。この色分けは、マッピングを追跡するのに役立ちます。

      ハイライト表示されたセキュリティインシデントの [簡単な説明] フィールドと値

    5. フォームの右側のセキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のステップを実行します。
      1. フォームの右側の [SIR インシデントフィールドマッピング] セクションで、グリッドの下部にあるプラスアイコンをクリックします。
        新しいフィールドが表示されます。
      2. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。

        カテゴリフィールドマッピング

        注:
        同じセキュリティインシデントに複数の観測事象を表示できるため、[観測事象] フィールドを異なる値で複数回マップできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、インシデントをプレビューするときに、フィールドに値がないことを示すエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. または、新しい行の [検索] フィールドに値を入力します。
      4. フォームの左側の [入力式] フィールドで [イベント ID] を左クリックして選択します。
    6. フィールドの値をマッピングに追加するか、削除して、マッピングを続行します。
      次の図は、編集されたマッピングの例です。右側の下部のフィールドに [作業メモ] フィールドが追加され、複数の値が表示されます。長いテキスト文字列フィールドの場合、マッピングフィールドを展開して完全な文字列を表示し、以下のスクリーンショットに示すように、[作業メモ] フィールドを追加してフィールドの右下隅をプルすることで、必要に応じてサイズを変更できます。
      ハイライト表示された複数の値を含む作業メモ
      警告:
      [SIR インシデントフィールドマッピング] セクションの [入力式] フィールドに記載されている URL とポート番号は単なる例であり、初期設定の URL またはポート番号ではないことに注意してください。

      プレビューでは、これらの値はセキュリティインシデントの [作業メモ] に表示されます。値は [マッピング] セクションに追加したフィールドの値であり、[作業メモ] フィールドに複数の値がマッピングされているため、値は入力されたとおりに表示されます。この例では、フィールドに入力したスペースと句読点が、セキュリティインシデントのプレビューの作業メモとして [関連アイテム] セクションに表示されます。

    7. SIR でマッピングされたフィールドの更新を受信するには、[入力式] の [ 更新を有効にする] チェックボックスをオンにします。[更新を有効にする] チェックボックスをオン
    8. オプション: 先行するフィールドマッピングのステップを完了したら、インシデント生成条件ビルダーで同じフィールド値を使用して、SIR セキュリティインシデントを作成するために受信注目イベントが満たす必要がある追加の条件を定義することができます。
      インシデント生成条件を設定するには、次のステップを実行します。
      1. フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] チェックボックスをオンにして、オプションを有効にします。

        フィルター条件ビルダーが表示されます。これらのフィルターを使用して、フィールドで説明されている特定の条件に一致するセキュリティインシデントを作成します。

        フィルター条件ビルダーの最初のフィールドのリストにあるオプションは、取り込まれたイベントの [注目イベントサンプルの取り組み] セクションに表示されるフィールドと一致します。これらのフィールドは動的であり、取り込む Splunk 注目イベントまたは手動で転送された注目イベントサンプルに選択するイベントに応じて変化します。入力する条件は大文字と小文字が区別され、Splunk Enterprise Security 注目イベントの値と正確に一致する必要があります。フィルターフィールドに入力する値が不明な場合、Splunk Enterprise Security コンソールに戻り、注目イベントをレビューしてキーワードを確認することができます。

      2. 条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。
      3. 条件を追加するには、フィールドの右側にある [AND] または [OR] をクリックします。
        [AND] を選択した場合は、すべての条件に一致する必要があります。[OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
      4. オプション: 2 行目で、2 番目のフィルター条件を設定します。

        次の画像は、セキュリティインシデントが作成される前に一致する必要がある 2 つの条件を含む例です。


        フィルター条件ビルダー:2

        入力した両方のフィルタリング条件に一致した場合にのみセキュリティインシデントが作成されるように、インシデント生成条件を設定しました。

        この種のインシデント生成条件フィルタリングで、Splunk で基となる相関検索またはフィルターを変更することなく、セキュリティイベントを絞り込み、作成する不要なセキュリティインシデントの数を制限することができます。追加のフィルター条件を設定する場合、すべての条件に一致する注目イベントのみがインシデントにマップされます。

        注:
        イベントフィールド名に引用符 (")、ハイフン (')、アンダースコア (-)、アットマーク (@)、またはアンパサンド (@) などの特殊文字が含まれている場合、これらの文字はマッピング変換のために置き換える必要があり、重複イベント名が作成される可能性があります。マッピングは適切に実行できますが、重複するイベント名を持つフィールドを区別するために数値のサフィックスが追加されます。たとえば、最初のイベントフィールドが alerts.alert で、2 番目のイベントフィールドが alerts@alerts の場合、残りの標準的なテキスト文字は同じであるため、これらのフィールドは一意に識別されません。この場合、サフィックスが 2 番目のイベントフィールドに追加され、フィールド名が「alerts@alert(1)」に変更されます。

      類似の注目を処理して重複インシデントを防止するイベント集計基準

    9. オプション: 重複セキュリティイベントが作成されないように、追加のイベント集計条件を定義して、受信注目イベントをオープンセキュリティインシデント別に集計することができます。
      条件を設定するには、以下のステップを実行します。
      1. フォームで [イベント集計基準] セクションにスクロールし、[集計条件] チェックボックスをオンにして、このオプションを有効にします。

        値が一致するインシデントフィールドが表示されます。これらのフィールド名は、SIR セキュリティインシデントで構成されたカスタムフィールドを含むセキュリティインシデントのフィールドです。

      2. 複数選択入力フィールドから、ServiceNow AI Platform の既存のセキュリティインシデントで照合するフィールド値を選択します。
      3. [新しい基準を追加] を使用して複数のフィールド一致条件を選択します。
        複数選択入力フィールドで選択したすべてのフィールド値は、AND 条件を使用して集計基準と照合されます。[ 新しい基準を追加] を選択して、定義されている複数選択されたフィールド条件のいずれかが OR 条件を使用して満たされた場合に集計が行われる複数のフィールド一致条件を選択します。

        新しい注目イベントが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しい注目イベントは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計注目イベントを表示できます。セキュリティインシデントの集計された注目イベントはすべて、[タスクに対する Splunk イベント] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、これらの注目イベントが既存のセキュリティインシデントに集計される理由を理解するのに役立ちます。このタブが表示されない場合は、 [関連リンク] の下のレコードの左側にスクロールし、[すべての関連リストを表示] リンクをクリックします。

      4. オプション: セキュリティインシデントで最近追加された新しい注目イベントの作業メモを記録するには、このチェックボックスをオンにしてこのオプションを有効にします。
        作業メモには、新しい注目が追加され、アラートの詳細へのリンク、およびマッピングセクションの作業メモフィールドに追加された可能性のあるその他の詳細が記録されます。
      Splunk注目イベントから SIR セキュリティインシデントのフィールドに値を正常にマッピングしました。また、インシデント生成フィルタリング基準を使用してセキュリティインシデントの作成を制限する追加条件も構成しました。イベントフィールド値が設定された集計基準に一致する場合は、注目イベントを既存の SIR セキュリティインシデントに追加しました。
    10. いずれかを選択して、プロファイル構成を続行します。
      オプション説明
         
      続行 [マッピング] フォームが表示されます。

      進捗状況バーで [プレビュー] が選択されています。次のステップでは、SIR セキュリティインシデントにマッピングしたフィールドをプレビューします。
      更新 データは保存され、[Splunk イベントプロファイル] リストが表示されます。
      前へ [注目イベントの選択] フォームが表示されます。
      削除 このイベントプロファイルを削除すると、[Splunk イベントプロファイル] リストが表示されます。

    次のタスク

    次のステップでは、 セキュリティインシデントにマッピングした値をプレビューします。詳細については、「セキュリティインシデントをプレビュー」を参照してください。