ArcSight ESM イベントの取り込み統合のマッピングの作成

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：10分

このステップでは、サンプル相関イベントを取り込み、値を SIR セキュリティインシデントフィールドにマップします。

始める前に

必要なロール：admin、sn_si.admin

このタスクについて

sn_si.admin ロールを持つユーザーは、フォームの左側にある [相関イベントサンプルの取り込み] 列で最大 5 つのサンプル相関イベントを確認して、イベントフィールド値を右側の [SIR インシデントフィールドマッピング] 列のセキュリティインシデントフィールドにマッピングして変換することができます。

フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。デフォルトで表示されるフィールドは、通常、セキュリティインシデント応答フォームに入力する重要なフィールドです。ただし、[+] および [-] ボタンを使用して、これらのフィールドを削除し、追加のフィールドを表示することができます。フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。フィールドをカスタマイズすると、セキュリティインシデントのデフォルトのマッピンググリッドに表示されていない ArcSight ESM フィールドをマッピングできます。

手順

このマッピングフォームが表示されない場合は、進捗状況バーの [マッピング] をクリックします。
選択した相関ルールの最新のサンプル相関イベントをプルするか、相関イベントマッピングエクスペリエンスに使用する特定の相関イベントの一意の相関イベント ID を指定できます。
ドロップダウンリストから、次のいずれかを選択します。
- 最新の相関イベントを取得
- イベント ID に基づいて相関イベントを選択します
[イベントを取得] をクリックして、選択した相関検索ルールについて ArcSight ESM コンソールから最新のサンプル相関イベントをプルします。
相関イベントのフィールドと値の結果は、個別のタブとして表示されます。

サンプル相関イベントのプルには少し時間がかかる場合があります。トランザクションが機能していることを示すメッセージが画面の上部に表示されます。

次の図では、取り込みプルの完了後に、取り込まれた相関イベントまたはインポートされたサンプルイベントのフィールド名値のペアがこのフォームの左側に表示されます。これらの値は、フォームの [SIR インシデントフィールドマッピング] 側のセキュリティインシデントフィールドにマッピングする値です。
フォームの左側からフォームの右側のセキュリティインシデントのフィールドにフィールド値をマッピングするには、フォームの左側で青色のフィールド名をクリックしたままにします。
フィールド名 (agent.hostname など) をドラッグして、[セキュリティインシデント] 列のフィールド名の横にある [入力式] 列のフィールドにドロップします。

マッピングプロセスでイベントフィールドが見落とされたり重複したりしないように、フィールドは色分けされています。左側のライトブルーのフィールドは、相関イベントフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信相関フィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。

灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。この色分けは、今後のセキュリティインシデントフィールドマッピングでどのイベントフィールドが既に使用されているかを追跡するのに役立ちます。
フォームの右側のセキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のステップを実行します。
1. フォームの右側の [SIR インシデントフィールドマッピング] セクションで、グリッドの下部にあるプラスアイコンをクリックします。
  新しいフィールドが表示されます。
2. [セキュリティインシデント] 列で表示されている選択リストを展開し、フィールドを選択します。
  
  新しいフィールドの展開された選択リストでは、一部のフィールドが網掛けされています。セキュリティインシデントにマップされたため、次の図では、[影響を受けるユーザー] のバックグラウンドはグレーになっています。フォームの左側の相関イベントフィールドの色分け同様、セキュリティインシデントフィールドのこの色分けも、すでにマップされた SIR インシデントフィールドを追跡するのに役立ちます。
  
  注:
  同じセキュリティインシデントに複数の観測事象を表示できるため、[観測事象] フィールドを異なる値で複数回マップできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、インシデントをプレビューするときに、フィールドに値がないことを示すエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できる選択リストがあり、選択リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
3. または、新しい行の [検索] フィールドに値を入力します。
4. フォームの左側の [入力式] フィールドで[イベント ID] を左クリックして選択します。
  ドラッグアンドドロップ機能を使用して、新しいフィールドの横にマッピングします。
オプション: スクリプトエディターを開き、編集を続行します。

スクリプトエディターの詳細については、「スクリプトエディターを使用して ArcSight ESM 統合のために相関イベント値をフォーマットする」を参照してください。インシデント生成フィルタリング条件
オプション: 先行するフィールドマッピングステップを完了したら、インシデント生成条件ビルダーで同じフィールド値を使用して、SIR セキュリティインシデントを作成するために、受信相関イベントが満たす必要がある追加の条件を定義することができます。
インシデント生成条件を設定するには、次のステップを実行します。
1. フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] チェックボックスをオンにして、オプションを有効にします。
  
  フィルター条件ビルダーが表示されます。これらのフィルターを使用して、フィールドで説明されている特定の条件に一致するセキュリティインシデントを作成します。
  
  フィルター条件ビルダーの最初のフィールドの選択リストにあるオプションは、取り込んだイベントの [相関イベントサンプルの取り込み] セクションに表示されるフィールドと一致します。これらのフィールドは動的であり、取り込む相関イベントに応じて変化します。入力する条件は大文字と小文字が区別され、ArcSight ESM 相関イベントの値と正確に一致する必要があります。
  
  条件ビルダーの選択リストとフィールドを使用して、最初の行のフィルターを設定します。
2. 条件を追加するには、フィールドの右側にある [AND] または [OR] をクリックします。
  [AND] を選択した場合は、すべての条件に一致する必要があります。[OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
3. オプション: 2 行目で、2 番目のフィルター条件を設定します。
  
  次の画像は、セキュリティインシデントが作成される前に一致する必要がある 2 つの条件を含む例です。
  
  入力した両方のフィルタリング条件に一致した場合にのみセキュリティインシデントが作成されるように、インシデント生成条件を設定しました。
  
  この種のインシデント生成条件フィルタリングでセキュリティイベントを絞り込むことができ、基になる相関検索を変更することなく作成する不要なセキュリティインシデントの数を制限したり、ArcSight ESM でイベントをフィルターで除外したりすることができます。追加のフィルタリング条件を設定する場合、すべての条件に一致する相関イベントのみがインシデントにマップされます。
  
  注:
  イベントフィールド名に引用符 (")、ハイフン (')、アンダースコア (-)、またはアンパサンド (@) などの特殊文字が含まれている場合、これらの文字はマッピング変換のために置き換える必要があり、重複イベント名が作成される可能性があります。マッピングは適切に実行できますが、重複するイベント名を持つフィールドを区別するために数値のサフィックスが追加されます。たとえば、最初のイベントフィールドが events.event で、2 番目のイベントフィールドが events.event の場合、残りの標準的なテキスト文字は同じであるため、これらのフィールドは一意に識別されません。この場合、サフィックスが 2 番目のイベントフィールドに追加され、フィールド名が「events.event(1)」に変更されます。
類似の相関イベントを処理して重複インシデントを防止するイベント集計基準
オプション: 重複セキュリティイベントが作成されないように、追加のイベント集計条件を定義して、受信する相関イベントをオープンセキュリティインシデント別に集計します。
基準を設定するには、以下のステップを実行します。
1. フォームで [イベント集計基準] セクションにスクロールして、[集計条件] チェックボックスをオンにして、このオプションを有効にします。
  
  [値が一致するインシデントフィールド] 列が表示されます。これらのフィールド名は、SIR セキュリティインシデントで構成されたカスタムフィールドを含むセキュリティインシデントのフィールドです。
2. [利用可能] リストから、Now Platform の既存のセキュリティインシデントで照合するフィールド値を選択し、[選択済み] リストに移動させます。
  この受信相関イベントを既存のセキュリティインシデントに追加するには、選択するすべてのフィールド値が一致する必要があります。これには、複数の相関イベントフィールド値がマッピングされている可能性がある [観測事象] や [構成アイテム] などのフィールドが含まれます。すべての値が一致している必要があります。値のサブセットのみが一致した場合、イベント集計条件は満たされず、新しいセキュリティインシデントが作成されます。複数値フィールドのマッピングについては、以下のスクリーンショットを参照してください。
  新しい相関イベントが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しい相関イベントは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う SOC アナリストは、セキュリティインシデントの関連リストで、追加されたすべての集計相関イベントを表示できます。セキュリティインシデントの集計された相関イベントはすべて、[集計された ArcSight イベント] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、これらの相関イベントが既存のセキュリティインシデントに集計される理由を理解するのに役立ちます。このタブが表示されない場合は、[関連リンク] の下のレコードの左側にスクロールし、[すべての関連リストを表示] リンクをクリックします。
  注:
  この関連リストが表示されない場合は、次のステップを実行します。
  
  セキュリティインシデントフォームヘッダーを右クリックし、 Configure (構成) > 関連リスト.
  
  [利用可能] リストで [集計された ArcSight イベント] を選択し、[選択済み] リストに移動して [保存] をクリックします。
  
  [関連リストを表示] をクリックします。[関連リスト] セクションに [集計された ArcSight イベント] タブが表示されます。
3. オプション: セキュリティインシデントでイベントが集計されるたびに作業メモを記録するには、このチェックボックスをオンにしてこのオプションを有効にします。
  作業メモには、新しい相関イベントが追加されたことが、相関イベントの詳細へのリンクとともに記録されます。
相関イベントから SIR セキュリティインシデントのフィールドに値を正常にマッピングしました。また、インシデント生成フィルタリング基準を使用してセキュリティインシデントの作成を制限する追加条件も構成しました。また、イベントフィールド値が設定された集計基準に一致する場合は、相関イベントを既存の SIR セキュリティインシデントに集計しました。

いずれかを選択して、プロファイル構成を続行します。

オプション	説明

続行	[マッピング] フォームが表示されます。進捗状況バーで [プレビュー] が選択されています。次のステップでは、SIR セキュリティインシデントにマッピングしたフィールドをプレビューします。
更新	データが保存され、[ArcSight ESM イベントプロファイル] リストが表示されます。
前へ	[相関イベントの選択] フォームが表示されます。
削除	このイベントプロファイルを削除すると、[イベントプロファイル] リストが表示されます。