セキュリティインシデントをプレビュー

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • マッピングステップを完了したら、ServiceNow AI Platform® セキュリティインシデントレスポンス (SIR) セキュリティインシデントでマッピングした値をプレビューします。このプレビューステップでは、セキュリティインシデントに表示するすべての注目フィールドがマッピングされていることを確認できます。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    このタスクについて

    セキュリティインシデントをプレビューし、必要に応じてマッピングを再編集して、エラーのあるフィールドを修正するか、欠落しているデータを入力します。プレビューが正常に完了しない場合、スケジュール設定ステップに進むことはできません。SIR セキュリティインシデントのプレビューは、SIR 製品の実際のインシデントとして保存されません。

    手順

    1. セキュリティインシデントのプレビューが表示されない場合は、進捗状況バーの [プレビュー ] を選択します。
    2. 複数のイベントが使用された場合は、[イベント名] 選択リストからアイテムを選択します。
    3. [サンプルの注目イベント ID] 選択リストからイベント ID を選択します。
    4. [サンプル注目イベント ID] 選択リストから、アイテムを選択します。

      展開した [イベントを選択] 選択リスト。

      セキュリティインシデントが表示されます。フィールドの情報は変更しないでください。このビューは読み取り専用であり、このセキュリティインシデントのレコードは保存されません。

    5. セキュリティインシデントの注目イベント値のフィールドマッピングを確認します。

      プレビューのセキュリティインシデントに関するエラーメッセージ。

      前の画像は、マッピングエラーのあるプレビューの例です。この例では、注目イベントのフィールド値に、SIR インシデントフォームの参照フィールドの許容値がありません。[ 優先度] フィールドの入力値が見つからなかったことを示すエラーメッセージが表示されます。その結果、このマップされたフィールド値は、さらに変更しないと SIR セキュリティインシデントフォームに表示されません。

    6. このエラーを解決するには、進捗状況バーの [ マッピング ] を選択します。
    7. マッピングを編集して誤った値を修正するか、欠落しているデータを入力します。
    8. マッピングを再度プレビューし、エラーメッセージに記載されているエラーの修正を続行します。

      次の図は、すべてのエラーメッセージが解決された後の SIR セキュリティインシデントの下半分にある [インシデントの詳細] タブの例です。この例では、 [説明] および [作業メモ] フィールドがマッピングされ、これらのフィールドには Splunk Enterprise Security 注目イベントサンプルからプルされた値のペアの値が入力されます。最初の [作業メモ] フィールドには値がありません。マッピングステップで、このフィールドはマッピンググリッドで空のままになっていました。値を含む追加の [作業メモ] フィールドが、マッピングセクションに追加されました。


      セキュリティインシデントプレビューの [作業メモ] および [説明] フィールド。
      注:
      一致する CMDB レコードまたは ID レコードが見つからない場合、[プロファイルプレビュー] セクションに [ 一致しない影響を受けるユーザー] および [ 一致しない構成アイテム] の関連アイテムが表示されます。取り込み後、セキュリティインシデントレコードの [構成アイテム] 関連リストに [一致しない CI] が、[一致しない影響を受けるユーザー] が専用の関連リストに表示されるため、インシデントのライフサイクル全体を通じて影響を受けるエンティティが完全に可視化されます。
    9. エラーを修正し、フィールドが意図したとおりであることを確認したら、続行するオプションを 1 つ選択します。
      オプション説明
      続行 スケジュール済み注目イベントのあるプロファイルに対して [スケジュール] フォームが表示されます。

      進捗状況バーで [スケジュール] が選択されます。
      完了 手動イベント転送用に構成されたプロファイルの場合は、[完了] をクリックします。Splunk Enterprise Security コンソールから直接オンデマンドでエクスポートされるイベントデータを含むプロファイルには、スケジュールステップはありません。
      更新 データが保存され、[Splunk イベントプロファイル] リストに戻ります。
      前へ 進捗状況バーにマッピングステップが表示されます。
      削除 このイベントプロファイルを削除すると、[Splunk イベントプロファイル] リストが表示されます。

    次のタスク

    エラーメッセージが表示されず、セキュリティインシデントのフィールドマッピングに問題がない場合は、次のステップでは Splunk Enterprise Event Ingestion 統合でのアラートのスケジュールおよび取得 を行います。