Splunk Enterprise Event Ingestion 統合でのアラートのマッピング

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:13分

    • イベントフィールドマッピングのステップでは、トリガーされたアラートまたはインポートされたイベントデータの個々のイベントフィールドを Now Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントのフィールドにマップします。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    デフォルトのセキュリティインシデントフィールドの事前設定されたマッピンググリッドを編集できます。イベントフィールドの色分けは、既にマッピングされているフィールド値を監視するのに役立ちます。このステップは、編集がセキュリティインシデントのフィールドにどのように影響するかを視覚化するのに役立ちます。

    フォームの左側にある [アラートサンプルの取り込み] 列から、右側の [SIR インシデントフィールドマッピング] 列のセキュリティインシデントフィールドに最大 5 つのアラートをマッピングします。

    フォームの右側にあるマッピンググリッドのフィールドを追加または削除して、カスタムマッピングを作成します。フィールドをカスタマイズすると、SIR セキュリティインシデントのデフォルトのマッピンググリッドに表示されていない Splunk フィールドをマッピングできます。

    手順

    1. このマッピングフォームが表示されない場合は、進捗状況バーの [マッピング] をクリックします。
    2. [アラームサンプルの取り込み] の下にあるスケジュール済みアラートプロファイルの場合、[アラート名] でアラートを選択し、[サンプルデータをフェッチ] をクリックして Splunk Enterprise コンソールから発生したアラートの最新のインスタンスをプルします。

      アラートはタブとして表示されます。最新のアラートを最大 5 件取り込むことができます。

      サンプルイベントのプルには少し時間がかかる場合があります。トランザクションが機能していることを示すメッセージが画面の上部に表示されます。

      注:
      追加のマッピングフィールド [Splunk アラート名] が統合によって追加され、Splunk のソースアラートルールまでイベントを追跡できます。これは、複数の Splunk アラートが単一のプロファイルに結合されているシナリオで役立つ可能性があります。

      1 つのフィールドに複数の値が含まれている場合、それらの値は解析され、[SIR インシデントフィールドマッピング] セクションの個々のフィールドエントリーにマップされます。たとえば、ソース IP アドレス、資産名、または URL に複数の観測事象フィールドエントリーまたは複数の CI がある場合、それらは解析され、[SIR インシデントフィールドマッピング] セクションの個々のフィールドエントリーにマップされます。

      次の図では、プルの完了後に、取り込まれたアラートまたはインポートされたサンプルイベントのフィールド名値のペアがこのフォームの左側に表示されます。これらの値は、フォームの [SIR インシデントフィールドマッピング] 側のセキュリティインシデントフィールドにマッピングする値です。

      ハイライト表示された [サンプルデータをフェッチ] と取り込んだアラート値。
    3. スケジュール済みアラートプロファイルの場合は、ステップ 5 に進んで値をマッピングします。
    4. または、Splunk Enterprise コンソールからエクスポートするイベントタイプのプロファイルの場合は、次の手順に従って Now Platform® インスタンスに添付ファイルデータをアップロードします。
      1. まだログインしていない場合は、Splunk Enterprise コンソールにログインします。
      2. [検索] タブに移動し、エクスポートするイベントデータを含む検索の名前を入力します。

        たとえば、「マルウェア」は、この統合のワークフローで転送できるすべてのマルウェアイベントに使用される検索用語です。

      3. イベントを展開し、[フィールド] 列でインポートするフィールドを選択します。

        これらのフィールドは、Now Platform® インスタンスの [マッピング] ページにエクスポートされて表示されるフィールドと値のペアです。

      4. Splunk Enterprise コンソールの [検索] ページの右上にある [エクスポート] アイコンをクリックします。
      5. 表示されるダイアログの [形式] フィールドのリストで、[XML 形式] をクリックします。
      6. オプション: 新しいファイル名を入力します。
      7. [エクスポート] をクリックします。
        ファイルが Now Platform® インスタンスにダウンロードされます。
      8. Now Platform® インスタンスに [マッピング] ページが表示されない場合は、進捗状況バーの [マッピング] をクリックします。
      9. [アラートサンプルの取り込み] 列で、[添付ファイルデータのロード] をクリックします。
        ハイライト表示された [添付ファイルデータをロード] ボタン。
      10. 表示されるダイアログで、[ファイルを選択] をクリックし、エクスポートした .xml ファイルに移動して、[開く] をクリックします。
        イベントに対してエクスポートしたフィールドの値のペアが、マッピングフォームの左側に表示されます。

        次の図では、取り込まれたスケジュール済みアラートのデータペアがこのフォームの左側に表示されています。インポートされたイベントの値のペアもフォームのこちら側に表示されます。これらの値は、フォームの [SIR インシデントフィールドマッピング] 側のセキュリティインシデントフィールドにマッピングするフィールド値です。

    5. フォームの左側からフォームの右側のセキュリティインシデントのフィールドにフィールド値をマッピングするには、フォームの左側で青色のフィールド名をクリックしたままにします。
    6. フィールド名 (カテゴリなど) をドラッグして、[セキュリティインシデント] 列のフィールド名の横にある [入力式] 列のフィールドにドロップします。
      矢印で表示される値をドラッグアンドドロップします。

      フィールド値が [入力式] 列に表示されます。次の画像では、category がセキュリティインシデントの [カテゴリ] フィールドにマップされます。ただし、左側から右側のフィールドまでの任意の値を一致させることができます。プレビューステップで、セキュリティインシデントの値が正しくマッピングされていることを確認します。

      マッピングプロセスでイベントが見落とされたり、重複したりしないようにするために、フィールドは色分けされています。左側のライトブルーのフィールドは、フィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信アラートフィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。

      灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。場合によっては、アラートイベントフィールドが 1 回しか割り当てられないことがあるため、この色分けはマッピングの追跡に役立ちます。たとえば、 [簡単な説明] などのフィールドに値を割り当てることができるのは 1 回のみです。ただし、マッピンググリッドに行を追加することで、作業メモなどのリストフィールドを複数回割り当てることができます。

      ハイライト表示されたセキュリティインシデントの [カテゴリ] フィールドと値
    7. フォームの右側のセキュリティインシデントのデフォルトマッピングにフィールドを追加するには、次のステップを実行します。
      1. フォームの右側の [SIR インシデントフィールドマッピング] セクションで、グリッドの下部にあるプラスアイコンをクリックします。
        フィールドの追加。
        新しいフィールドが表示されます。
      2. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。

        新しいフィールドの展開されたリストでは、一部のフィールドが網掛けされています。次の図では、セキュリティインシデントにマッピングされているため、カテゴリのバックグランドがグレーになっています。フォームの左側のアラートフィールドの色分け同様、右側のセキュリティインシデントフィールドのこの色分けも、マッピングの追跡に役立ちます。

        新しいフィールドの選択リストの [場所] フィールド。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できるため、[観測事象] フィールドを異なる値で複数回マップできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、インシデントをプレビューするときに、フィールドに値がないことを示すエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. または、新しい行の [検索] フィールドに値を入力します。
      4. フォームの左側の [入力式] フィールドに入力する [アラート ID] を左クリックして選択します。
        ドラッグ機能を使用して、新しいフィールドの横にマッピングします。
    8. フィールドを追加または削除し、値をマップに追加してマッピングを続行します。
      次の図は、編集されたマッピンググリッドの例です。右側の下部のフィールドに [作業メモ] フィールドが追加され、複数の値が表示されます。値はスペースと句読点で区切られます (Category:${category} |destination IP:78.146.73.180)。
      ハイライト表示された複数の値を含む作業メモ

      プレビューでは、これらの値はセキュリティインシデントの [作業メモ] に表示されます。値はグリッドに追加したフィールドの値であり、[作業メモ] フィールドに複数の値がマッピングされているため、値は入力されたとおりに表示されます。この例では、フィールドに入力したスペースと句読点が、セキュリティインシデントのプレビューの作業メモとして [関連アイテム] セクションに表示されます。

      次の画像は、前の画像の値がセキュリティインシデントにどのように表示されるかを示した例です。

      セキュリティインシデントに表示された [作業メモ] フィールド値。

      インシデント生成フィルタリング条件

    9. オプション: 先行するフィールドレベルマッピングのステップを完了したら、フィルター条件ビルダーで同じフィールド値を使用して、SIR セキュリティインシデントを作成するために受信アラートが満たす必要がある追加の条件を定義できます。
      フィルタリング条件を設定するには、次のステップを実行します。
      1. フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] チェックボックスをオンにして、オプションを有効にします。

        フィルター条件ビルダーが表示されます。これらのフィルターを使用して、フィールドで説明されている特定の条件に一致するセキュリティインシデントを作成します。

        フィルター条件ビルダーの最初のフィールドのリストオプションは、取り込まれたアラートの [アラートサンプルの取り込み] セクションに表示されるフィールドと一致します。これらのフィールドは動的であり、取り込む Splunk アラートまたは手動で転送するイベントに応じて変化します。入力する条件は大文字と小文字が区別され、Splunk Enterprise アラートまたはイベントの値と正確に一致する必要があります。フィルターフィールドに入力する値が不明な場合、Splunk Enterprise コンソールに戻り、アラートとイベントをレビューしてキーワードを確認することができます。

        フィルター条件ビルダー。
      2. 条件ビルダーのリストとフィールドを使用して、最初の行のフィルターを設定します。
      3. 条件を追加するには、フィールドの右側にある [AND] または [OR] をクリックします。
        [AND] を選択した場合は、すべての条件に一致する必要があります。[OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
      4. オプション: 2 行目で、2 番目のフィルター条件を設定します。

        次の画像は、セキュリティインシデントが作成される前に一致する必要がある 2 つの条件を含む例です。

        フィルター条件ビルダー。

        入力した両方のフィルタリング条件に一致した場合にのみセキュリティインシデントが作成されるように、トリガー条件を設定しました。

        このタイプのフィルタリングは、セキュリティインシデントを分離し、作成するセキュリティインシデントの数を制限するのに役立ちます。追加のフィルター条件を設定すると、Splunk のクエリまたはトリガーされたアラート構成を変更することなく、必要なアラートのみが取り込まれます。

        重複インシデントを防止する集計アラート

    10. オプション: 重複セキュリティイベントが作成される可能性がないように、追加のインシデントフィールド条件を定義して、受信アラートをオープンセキュリティインシデント別に集計することができます。
      この基準を設定するには、以下のステップを実行します。
      1. フォームで [アラートアグリゲーション基準] セクションにスクロールして、[集計条件] チェックボックスをオンにして、このオプションを有効にします。

        [値が一致するインシデントフィールド] 列が表示されます。これらのフィールド名は、SIR セキュリティインシデントで構成されたカスタムフィールドを含むセキュリティインシデントのフィールドです。

        集計基準のスラッシュバケット。
      2. [利用可能] リストから、Now Platform の既存のセキュリティインシデントで照合するフィールド値を選択し、[選択済み] リストに移動させます。

        この受信アラートを既存のセキュリティインシデントに追加するには、選択するすべてのフィールド値が一致する必要があります。この基準に使用するセキュリティインシデントのフィールド値を確認するには、次に移動します: インシデント > すべてのインシデントを表示.

        新しいアラートが、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しいアラートは、同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計アラートを表示できます。セキュリティインシデントの集計されたアラートはすべて、[タスクに対する Splunk イベント] 関連リストに表示されます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、アラートが既存のセキュリティインシデントに追加される理由を理解するのに役立ちます。このタブが表示されない場合は、 [関連リンク] の下のレコードの左側にスクロールし、[すべての関連リストを表示] リンクをクリックします。

        ハイライト表示された [タスクに対する Splunk イベント] 関連リスト
      3. オプション: セキュリティインシデントで最近追加された新しいアラートの作業メモを記録するには、このチェックボックスをオンにしてこのオプションを有効にします。
        作業メモには、新しいアラートが追加されたことが、アラートの詳細へのリンクとともに記録されます。
      Splunk アラートまたはイベントから SIR セキュリティインシデントのフィールドに値を正常にマッピングしました。また、フィルター条件に基づいてセキュリティインシデントの作成を制限する追加条件も設定しました。既存の SIR セキュリティインシデントにアラートまたはイベントも追加しました。
    11. オプション: スクリプトエディターを開き、編集を続行します。

      スクリプトエディターの詳細については、「Splunk Enterprise Event Ingestion 統合でのスクリプトエディターを使用したアラート値のフォーマット」を参照してください。

    12. いずれかを選択して、プロファイル構成を続行します。
      オプション説明
         
      続行 [マッピング] フォームが表示されます。

      進捗状況バーで [プレビュー] が選択されています。次のステップでは、SIR セキュリティインシデントにマッピングしたフィールドをプレビューします。
      更新 データが保存され、[Splunk イベントプロファイル] リストが表示されます。
      前へ [アラートの選択] フォームが表示されます。
      削除 このイベントプロファイルを削除すると、[Splunk イベントプロファイル] リストが表示されます。

    次のタスク

    次のステップでは、 セキュリティインシデントにマッピングした値をプレビューします。