TISCでのタグ付けルールの構成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:8分

    • タグ付けルールを使用して、タグと分類を RSS フィードに自動的にアサインします。タグ付けルールは、定義された基準に基づいて受信フィードデータを評価し、一致が見つかった場合は適切なタグと分類を適用します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    このタスクについて

    タグ付けルールは 管理 モジュールから使用でき、RSS フィードでのみサポートされています。

    各タグ付けルールは、受信フィードアイテムに対して TISC 評価する一致基準と、すべての基準が満たされた場合に TISC 適用される一連のタグと分類で構成されます。複数のタグ付けルールが適用される場合、それに応じてすべてのタグと分類が集計されます。

    手順

    1. 移動先 すべて > ワークスペース > 脅威インテリジェンスセキュリティセンター > アドミニストレーション.
    2. 選択 ルールエンジン > タグ付けルール.

      [タグ付けルール] リストビューには、次のフィールドを含む既存のタグ付けルールがすべて表示されます。

      表 : 1. タグ付けルールリストビュー列
      説明
      名前 タグ付けルールの表示名。
      テーブル タグ付けルールのテーブル名は、デフォルトでは RSS フィード で、読み取り専用です。
      説明 ルールの目的の簡単な要約。
      アクティブ ルールが有効か無効かを示します。フィードの処理中は、アクティブなルールのみが評価されます。
      注:
      これはリストビューに表示され、有効か無効かを示す、フォームビューのタグ付けルール名にタグ付けされます。
      照合メソッド 選択したフィールドと照合するキーワード。デフォルトでは、一致では大文字と小文字は区別されません。

      タグ付けルールを定義するときは、選択したフィールドと照合するためにアプリケーションが使用するキーワードを指定する必要があります。デフォルトでは照合プロセスで大文字と小文字は区別されず、大文字と小文字に関係なく一致が検出されます。

      フィードアイテムを評価するには、次の 2 つの一致オプションがあります。
      • キーワード:選択したフィールド内で検索する 1 つ以上のキーワードを指定できます。デフォルトでは、オプションは [キーワード] です。
      • 正規表現:フィードデータ内のより複雑な一致基準に対して正規表現を定義できます。

        タグ付け要件の複雑さに基づいて、最適な照合方法を選択します。
      注:
      RSS フィード用にアプリケーションにプロビジョニングされた 2 つの基本システムのタグ付けルールは次のとおりです。デフォルトでは、これら 2 つのタグ付けルールは無効になっています。 [有効化 ] を選択してルールを有効にし、次の手順に進みます。
      表 : 2. ベースシステムのタグ付けルール
      フィールド 説明 テーブル 照合メソッド
      タグ付けルールの例 タグ付けルールの例。 sn_sec_tisc_rss_feed キーワード
      ゼロデイメンション付きの RSS フィードにタグを付ける RSS フィードで見つかった一致するキーワードに基づいて、脆弱性インテリジェンス:ZERODAY 分類を RSS フィードレコードに自動的に関連付けるために使用するタグ付けルール。
      注:
      このルールは、脆弱性の抽出と機能への相関のために有効にする必要があります。
      		 sn_sec_tisc_rss_feed キーワード
    3. [ 新規 ] を選択してタグ付けルールを作成するか、既存のルール名を選択して編集します。
      [新しいタグ付けルールの作成] フォームビューが開きます。フォームは次のセクションに分かれています。
    4. [ 詳細] セクションで、基本構成フィールドに入力します。
      表 : 3. ルール詳細フィールド
      フィールド 説明
      名前 タグ付けルールを識別する一意のわかりやすい名前。
      説明 ルールの目的またはスコープを文書化するオプションのテキスト。
      テーブル タグ付けルールのテーブル名は、デフォルトでは RSS フィードです。
      注:
      タグ付けルールは RSS フィードでのみサポートされているため、テーブル名は読み取り専用です。
      フィールド タグ付けルールが一致するフィールド。たとえば、RSS レコードの [説明]、[ メモ]、[ タイトル ] などのフィールドを選択できます。

      利用可能なフィールドは、RSS テーブルの列を含む複数選択リストに表示されます。要件に基づいて 1 つ以上のフィールドを選択します。

      この一致は、選択したフィールド全体で定義された条件を使用して評価されます。選択したフィールドのいずれかでキーワードが見つかった場合、ルールは一致と見なされます。たとえば、[ メモ ] と [説明 ] が選択されている場合、選択したフィールドのいずれかで一致が検出されるとルールがトリガーされます。

      選択したフィールドと照合する 1 つ以上のキーワードを選択します。複数のキーワードはカンマで区切ります。各キーワードは、照合中に個別に評価されます。

      注:
      • アプリケーションは、RSS レコードの [ メモ ] フィールドや [説明 ] フィールドの内容など、選択したフィールドの値に指定されたキーワードが存在するかどうかを確認します。一致するものが見つかると、構成された TISC タグと分類と分類値がレコードに自動的に適用されます。
      • 一致基準では、 文字列HTMLURL、および JSON のフィールドタイプがサポートされています。
    5. 必要なトリガータイプを選択します。
      [ トリガータイプ ] オプションを使用して、ルールを実行するタイミングを定義します。これらのオプション は、TISC タグ分類 値を RSS レコードに関連付けるタイミングを決定します。
      フィールド 説明
      挿入時に実行 新しい RSS フィードレコードが挿入されたときにルールを実行するには、このチェックボックスをオンにします。
      更新時に実行 既存の RSS フィードレコードが更新されたときにルールを実行するには、このチェックボックスをオンにします。
      注:
      アクティビティストリーム:このセクションには、レコードの変更履歴が表示されます。実行、レビュー、およびトラブルシューティングのためにこれらのフィールドの更新を追跡するために監査が有効になっています。
    6. [ 一致基準 ] セクションで、ルールを適用するためにフィードアイテムが満たす必要のある条件を定義します。
      表 : 4. 一致基準フィールド
      フィールド 説明
      照合メソッド デフォルトでは、一致では大文字と小文字は区別されません。
      使用可能な一致オプションは、次のとおりです。
      • キーワード
      • 正規表現
      必要なオプションを選択します。次のセクションでは、一致する各オプションについて詳しく説明します。ルールを構成するときは、必要に応じて説明を参照してください。

      大文字と小文字の区別を設定するには、必要に応じて sn_sec_tisc.case_sensitivity_for_tagging_rules システムプロパティを更新します。
      キーワード 選択したフィールドと照合する 1 つ以上のキーワード。複数のキーワードはカンマで区切ります。
      正規表現 正規表現 (正規表現) を使用して条件を追加するには、このオプションを選択します。

      選択すると、[ 正規表現 ] フィールドが表示され、指定したフィールドと照合する正規表現を入力できます。例:.*cve-[0-9].*
      パディングされたキーワード用のスペースをトリミング キーワードの先頭と末尾のスペースをトリミングするには、このチェックボックスをオンにします。

      選択すると、各キーワードの前後に入力されたスペースが自動的に削除されます。たとえば、キーワードの周囲に余分なスペースが含まれている場合、それらのスペースは照合中に無視されます。

      このチェックボックスがオフの場合、スペースは保持され、キーワードの一部として扱われます。これにより、一致を評価する精度を制御できます。
      注:
      指定できる正規表現は 1 つだけです。
    7. [ TISC タグと分類を追加 ] セクションで、ルール基準が満たされたときに適用するタグと分類を選択します。
      表 : 5. TISC タグと分類フィールドを追加
      フィールド 説明
      タグ ルール条件が満たされたときに適用する 1 つ以上の TISC タグ。
      分類 ルール条件が満たされたときに適用する 1 つ以上の分類値。分類を選択し、一致が発生したときに適用する対応する分類値を指定します。
    8. [ 保存] を選択してタグ付けルールを保存します。
    9. タグ付けルールを有効にするには、[ 有効化] を選択します。
      注:
      ルールを有効にすると、タグ付けルールフォームビューは読み取り専用モードになります。フォームビューを編集するには、タグ付けルールを無効にする必要があります。タグ付けルールの実行は非同期です。
    10. オプション: [ 複製 ] を選択して既存のルールをコピーします。

      現在のタグ付けルールが複製され、一意の名前で新しいルールが作成されたことを示す確認メッセージが表示されます。

      注:
      既存のルールをコピーすると、元のルールのすべてのフィールド値を保持する重複エントリが作成されます。コピーされたルールはデフォルトで 無効 状態で作成されるため、ルールを有効にする前にルールを確認または変更できます。

    実行結果を表示するには:

    • アプリケーションは、ルール条件に照らして RSS フィードレコードを評価します。
    • 一致が見つかった場合:
      • 構成されたタグと分類値は、RSS フィードレコードに自動的に関連付けられます。
      • アクションを記録するために、アクティビティストリームに作業メモエントリが追加されます。アクティビティストリームの作業メモには、次の詳細が含まれています。
        • タグ付けルール名
        • 適用されたタグ
        • 適用された分類値
          TISC タグ付けルール:アクティビティストリーム

    複数のルールがトリガーされた場合、各ルールは個別の行として表示されます。単一のルールで複数のタグと分類値が適用される場合、タグと分類が各タグ付けルールによって個別に適用されるカンマ区切り値としてリストされます。複数のタグ付けルールで同じタグまたは分類値を使用する場合、アプリケーションでは重複するタグと分類が自動的に管理されます。これにより、同じタグまたは分類が RSS フィードレコードに複数回適用されるのを防ぐことができます。