フィルターと集計基準の定義

リリースバージョン: Australia

更新日 2026年03月12日

所要時間：3分

フィルター条件を定義して設定し、セキュリティインシデントを作成する受信 Cortex XSIAM インシデントを指定します。インシデントを作成する代わりに、受信インシデントをオープンセキュリティインシデントに追加できるように、追加の [インシデント] フィールド基準を定義することもできます。

フィルタリング条件を設定

Palo Alto Cortex XSIAM インシデントが ServiceNow でセキュリティインシデントを作成するフィルター条件を設定します。

始める前に

必要なロール:sn_si.admin、sn_si.ingestion_profile_admin

このタスクについて

フィルタリングは、セキュリティインシデントを分離し、作成するセキュリティインシデントの数を制限するのに役立ちます。追加のフィルター基準を設定すると、クエリまたはトリガーされたインシデント構成を変更することなく、必要なインシデントのみが取り込まれます。

手順

[ 条件に基づいてフィルター ] を選択し、セキュリティインシデントを作成するために受信 XSIAM インシデントが満たす必要がある基準を定義します。

[フィルター条件] の最初のフィールドのオプションは、取り込んだインシデントの [Cortex XSIAM サンプルインシデントの取り込み] セクションに表示されるフィールドと一致します。これらのフィールドは動的であり、取り込むインシデントに応じて変更されます。入力する基準は大文字と小文字を区別します。定義した基準がインシデントの値と一致していることを確認します。

複数の値を持つ次のフィールドには、フィルター条件 incident_id を使用します。

重大度
creation_time
alert_categories
alert_count

フィルター条件は文字列のみ取得できるため、上記のフィールドに incident_id フィルター条件を使用して、データが正しくフィルタリングされるようにする必要があります。

アグリゲーション条件の定義

[集計条件] を選択して、新しいインシデントを作成する代わりに受信インシデントをオープンセキュリティインシデントに追加できるようにする追加のインシデントフィールド基準を定義します。

始める前に

必要なロール:sn_si.admin、sn_si.ingestion_profile_admin

手順

[ 集計条件] チェックボックスを選択します。
[値が一致するインシデントフィールド (Incident fields with matching values)] フィールドに、ServiceNow AI Platform インスタンスの既存のセキュリティインシデントで照合するフィールド値を入力します。
集計基準が満たされ、この受信インシデントを既存のセキュリティインシデントに追加できるように、複数選択入力フィールドで選択したすべてのフィールド値が一致する必要があります。この選択は、複数のフィールド値を持つ可能性がある [観測事象] や [構成アイテム] などのフィールドがマッピングされる AND 条件を意味します。値のサブセットのみが一致した場合、Cortex XSIAM インシデント集計条件は満たされず、新しいセキュリティインシデントが作成されます。
複数のフィールド一致条件を追加するには、[ 新しい基準を追加] を選択します。
定義した複数選択フィールド条件のいずれかが満たされると、集計が行われます。この選択は OR 条件を意味します。
[ 新規インシデントの作業メモを記録 ] を選択して、新しいインシデントがセキュリティインシデントに追加されたときにその作業メモを更新します。

作業メモには、新しいインシデントが追加されたことが記録され、インシデントの詳細へのリンクが含まれています。作業メモの記録では、マッピングセクションの作業メモフィールドに追加した詳細も更新されます。
[続行] を選択します。

次のタスク

インシデントデータ、およびプロファイルの基準に一致する取り込み済みインシデントを取得するスケジュールを設定します。詳細については、「インシデント取得のスケジュール」を参照してください。