新しい脅威インテリジェンスフィードの設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:10分

    • 外部の脅威インテリジェンスソースを TISC 環境に追加します。フィードパラメーター、認証、スケジュール設定、およびデータ処理を構成して、さまざまなソースから脅威インジケーターを自動的に取り込みます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 すべて > ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. [統合] アイコンを選択します。
    3. 選択 脅威インテルフィード > すべてのフィード.
    4. [ 新しいソースの構成] を選択します。
      さまざまなフィードタイプが表示されます。

      選択 された MISP でフィードオプションを表示する [フィードタイプを選択 (Select Feed Type)] ダイアログ。

    5. 必要なフィードタイプを選択します。
    6. フォームのフィールドに入力します。
      表 : 1. 新しいデータソースの構成
      フィールド 説明
      名前 フィードの名前。
      説明 フィードの説明。
      フィードタイプ フィードのタイプ。MISP など。

      デフォルトでは、この値はカタログで選択したフィードのタイプに基づいて表示されます。
      ロゴ ソースフィードのロゴ。
      注:
      サイズは 72px/72px にする必要があります。
      業界 航空宇宙や農業など、飼料が適用される産業カテゴリ。
      ソースタイプ ソースのタイプ。利用可能なソースタイプ:
      • 政府
      • ISAC
      • オープンソース
      • プレミアムソース
      • その他のソース
    7. [ 選択] を選択します。
    8. 必要に応じて、[構成] セクションのフィールドに入力します。
      表 : 2. 構成詳細
      フィールド 説明
      有効期限(日数) 取り込まれたフィードデータの有効期限が切れるまでの日数。たとえば、180 です。
      注:
      ソースから取り込んだデータは、取り込みから 180 日後に有効期限が切れます。
      ソースの有効期限を上書き 選択すると、プロファイル構成によって受信フィードレコードの有効期限が上書きされます。
      REST メッセージを使用 選択すると、 ServiceNow AI Platform によって提供される REST メッセージ/REST メソッド機能が使用されます。

      選択を解除すると、アプリケーションは REST エンドポイント URL で指定されたエンドポイントを使用してフィードからデータをフェッチします。詳細については、ServiceNow AI Platform ドキュメントの「送信 REST Web サービス」を参照してください。

      重要:
      [REST メッセージ] を選択する場合は、[REST メッセージ] フィールドと [REST メソッド] フィールドが必須です。
      REST メッセージ インスタンスで構成されている REST メッセージレコードのリストからの REST メッセージレコード。詳細については、ServiceNow AI Platformドキュメントの「送信 REST Web サービス」を参照してください。
      注:
      特定のヘッダーを表示し、REST メッセージオプションを使用して REST 関連レコードを定義するには、この値を使用します。
      REST メソッド 選択した REST メッセージに対して構成された利用可能な REST メソッドのリストからの REST メソッド。詳細については、ServiceNow AI Platformドキュメントの「送信 REST Web サービス」を参照してください。
      REST エンドポイント URL 脅威インテリジェンスフィードによってデータがホストされている REST エンドポイント URL。
      注:
      MISPフィードタイプの場合、末尾が「/manifest.json」の REST エンドポイント URL のみがサポートされます。
      信頼性 この特定のフィードから取り込まれた適用可能なすべてのレコードの信頼性。
      注:
      このソースの信頼性を 0 〜 100 の範囲で指定します。
      ソース信頼性を上書き 選択すると、プロファイル構成によってフィードの信頼度の値が上書きされます。
      データ解析メカニズム データ解析メカニズム。利用可能なオプションは次のとおりです。
      • 自動 IoC 抽出:このオプションは、テキスト、CSV、または JSON フィードを構成するときにデフォルトで選択されています。
      • カスタムフィールドマッピング:このオプションを使用して、フィードデータの特定のフィールドを観測事象属性にマッピングする方法を定義します。

        選択したら、[ フィールドマッピング] セクションでマッピングを構成できます。カスタムフィールドマッピングの詳細については、「 カスタムフィールドマッピングの構成」を参照してください。
      認証が必要 選択すると、新しい脅威インテリジェンスフィードに認証が必要になります。
      注:
      これは、REST エンドポイント URL がデータの取得に使用されている場合にのみ適用されます。
      認証タイプ ソースフィードの認証タイプ。利用可能な認証タイプ:
      • API ID / API キー
      • API ID / API シークレット
      • API キー
      • API キー / API シークレット
      • API ユーザー名 / API パスワード / API キー
      • ベーシック認証
      要求とともに渡されるヘッダー 要求とともに渡されるヘッダーは、要求ヘッダーマッピングで指定できます。
      • ヘッダーはキーと値のペアで指定され、コロン (:) で区切る必要があります。
      • ヘッダーの各キー値のペアは、新しい行で指定する必要があります。
      • 認証パラメーターをヘッダー値として指定する場合、必要な認証ラベルを「${」と「}$」で囲みます。例:「x-api-key:${API キー}$」など。
      詳細 選択すると、カスタム統合スクリプトとレポートプロセッサスクリプトを定義できます。
      注:
      このチェックボックスをオンにすると、カスタムスクリプトを選択するための [統合スクリプト] フィールドと [レポートプロセッサ ー] フィールドが 表示されます。
      統合スクリプト 統合スクリプトは、フィードで構成されている認証パラメーターやヘッダーを使用して REST エンドポイント URL への呼び出しを起動し、特定のフィードから利用可能なデータを取得します。
      統合スクリプトに利用可能なカスタムスクリプトインクルード:
      • MITRESourceIntegration:MITRE フィードからデータを フェッチ するために使用されます。
      • RSSFeedDatasourceIntegration:RSS フィードからデータをフェッチするために使用されます。
      • SimpleFeedDatasourceIntegration:認証またはベーシック認証なしでシンプルフィードからデータをフェッチするために使用されます。
      • SimpleMISPFeedDatasourceIntegration:ホストされている MISP フィードからデータをフェッチするために使用されます。

      デフォルトの統合スクリプトは、選択したフィードタイプに基づいています。たとえば MISP データを処理してフェッチするための標準形式であるフィードタイプを選択した場合、統合スクリプトは SimpleMISPFeedDatasourceIntegration になります。

      注:

      カスタム統合スクリプトの場合、「FeedDatasourceIntegrationBase」を拡張してスクリプトインクルードを作成し、必要なメソッドを上書きすることができます。
      プロセッサをレポート

      レポートプロセッサスクリプトは、統合スクリプトを使用してフィードからフェッチされたデータを処理します。

      レポートプロセッサで利用可能なカスタムスクリプト:
      • AtomFeedDatasourceResponseProcessor: Atom 形式の RSS フィードを処理するために使用されます。
      • MITRECollectionDataProcessor:MITRE フィードを処理するために使用されます。
      • RSSFeedDatasourceResponseProcessor:RSS フィードを処理するために使用されます。
      • SimpleDataplaneFeedResponseProcessor:データプレーンフィードを処理するために使用されます。
      • SimpleFeedDatasourceResponseProcessor:観察事項の正規表現抽出を使用して単純なフィードを処理するために使用されます。
      • SimpleFeodotrackerFeedResponseProcessor: Feodotracker フィードを処理するために使用されます。
      • SimpleMISPFeedDatasourceResponseProcessor:ホストされている MISP フィードを処理するために使用されます。
      • TAXIIV2CollectionDataProcessor: TAXII 収集データを処理するために使用されます。

      MISPフィードのデフォルトのレポートプロセッサは SimpleMISPFeedDatasourceResponseProcessor です。このプロセッサーはアプリケーションによって事前設定されており、変更または交換することはできません。
    9. 必要に応じて、[ スケジュール] セクションのフィールドに入力します。
      表 : 3. スケジューリング
      フィールド 説明
      実行 レコードを取り込む頻度。フィードの取り込みは、スケジュール済みジョブ間隔に基づいてジョブを実行および実行します。使用可能なジョブ間隔は、以下のとおりです。
      • 日次
      • 週次
      • 月次
      • 定期的
      • 1 回
      • オンデマンド
      • ビジネスカレンダー: エントリー開始
      • ビジネスカレンダー: エントリー終了
      注:
      デフォルトでは、頻度は [オンデマンド] に設定されています。
      詳細については、「スケジュール済みジョブ」および「選択したスクリプトを自動的に実行する方法」を参照してください。
      データのフェッチ元 データをフェッチする開始日。このフィールドを、対応するソースからデータを取り込む時刻に設定します。この値を設定すると、次の取り込み実行では設定された時刻にデータがフェッチされ、取り込みの連続実行では実行頻度に基づいて増分データがフェッチされます。

      たとえば、1 時間ごとにデータを取り込むようにソースをスケジュール設定します。ユーザーが 1 月 12 日午前 9 時 30 分に [ データフェッチの開始日時] を 1 月 12 日午前 6 時 00 分に設定し、取り込みのトリガーが 1 月 12 日午前 10 時に行われると、1 月 12 日午前 6 時~ 1 月 12 日午前 10 時までのデータが取得されます。次の取り込みのトリガーは午前 11:00 になり、1 月 12 日午前 10 時~ 1 月 12 日午前 11 時までの増分データのみがフェッチされます。

      注:
      つまり、スケジュールされた実行では、指定された日時以降にデータが追加的にフェッチされることになります。
      重要:
      [データのフェッチ元 (Fetch Data From)] フィールドは、テキスト、CSV、または JSON フィードには適用されません。
      表 : 4. 追加情報
      フィールド 説明
      メディア URL 脅威インテリジェンスフィードデータの取得に使用されるメディアソースの URL。
      フィードコメント URL RSS ソースから提供されるコメントのリンク。
      表 : 5. TISC タグ
      フィールド 説明
      TISCタグを選択 このソースからシステムに取り込まれたレコードに注釈を付けたり識別したりするためのタグ。検索バーにタグ名を入力して使用可能なタグを選択するか、新しいタグ名を入力して [追加] を選択してソースにアサインします。
    10. フィードを保存および作成するには、[ 保存] アクションを選択します。
      指定された詳細情報が検証され、デフォルトではフィードステータスは非アクティブです。
    11. オプション: フィード構成をドラフトとしてのみ保存するには、[ ドラフトとして保存する] アクションを選択します。
      ドラフトとして保存されているフィードは有効にできません。構成の詳細が不明な場合は、このオプションを使用します。
    12. [ 有効化] を選択してレコードを有効にします。
      脅威インテリジェンスフィードレコードを有効にした後、レコードを実行して統合を実行できます。
      注:
      • 脅威インテリジェンスフィードレコードにラベルが付けられ、有効であることが示されます。同様に、[ 無効化 ] ボタンを選択することで、脅威インテリジェンスフィードを無効にすることができます。
      • [カタログ] または [脅威インテリジェンスフィード] ページでは、必要なフィードのタイルのアクションメニューから特定のフィードを有効化、無効化、削除することもできます。
    13. オプション: 脅威インテリジェンスフィードレコードを削除するには、[ 削除 ] を選択します。
    14. [統合実行] セクションを選択して、実行の詳細情報を確認します。
      注:
      この設定手順は、 STIX TAXIIを除くすべての脅威インテリジェンスフィードタイプに適用されます。STIX TAXII構成方法の詳細については、「新しい TAXII フィードを構成する」を参照してください。