プロファイルの作成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • 手動イベント転送用のプロファイルを設定できます。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが使用できるすべての操作を実行できます。

    手順

    手動イベント転送をサポートするプロファイルを作成するには、次のステップを実行します。

    Splunk Enterprise Security コンソールからオンデマンドで転送するイベントの場合、既存のプロファイルに基づいて個々のフィールドマッピングを行うことができます。または、エクスポートされた添付ファイルデータの新しいマッピンググリッドを作成することもできます。手動で転送するイベントは、イベントプロファイルでスケジュールされません。

    1. まだ選択されていない場合は、[タイプ] フィールドの選択リストで [手動イベント転送] を選択します。
    2. 表示される [マッピングオプション] フィールドで、選択リストからマッピングオプションを 1 つ選択して続行します。
      [マッピングオプション] 選択リストで利用可能なマッピングオプションの詳細については、次の図とテーブルを参照してください。
      Splunk:手動イベント転送
      表 : 1. 新しいフィールドマッピングオプションの作成
      オプションまたはフィールド 説明
      新しいフィールドマッピングオプションの作成 イベントの新しいフィールドマッピング。

      作成しているプロファイルに類似した既存のフィールドマッピングがない場合は、このオプションを選択して新しいマップを作成します。
      デフォルトプロファイル

      すべての Splunk イベントのデフォルトのイベント転送プロファイル。デフォルトはクリア (非アクティブ化) されています。

      このオプションを有効にすると、このプロファイルが手動イベント転送のデフォルトプロファイルになります。このプロファイルは、手動で転送されたイベントのソースと一致しない場合に使用されます。これは、不明なソースを持つすべてのイベントのデフォルトプロファイルになります。

      デフォルトのプロファイルオプションが有効になっている場合、 [ソース] フィールドは使用できません。
      ソース (注目イベントフィールド) これは通常、 総当たり攻撃などの注目をトリガーした相関ルールを定義するフィールドです。

      デフォルトのプロファイルオプションが有効になっている場合、このフィールドは使用できません。

      利用可能な場合、このフィールドは、通常はイベントタイプごとに異なる Splunk 相関ルールに基づいて、セキュリティインシデントフィールドへの一意のイベントフィールドマッピングを許可します。

      さまざまな相関ルールを個別に管理する場合は、相関ルールに基づいてさまざまなプロファイルイベントプロファイルを作成して、この要件を満たすことができます。
      注目イベントの更新を自動化 SIR インシデントが注目イベントから作成されたとき、および/または SIR インシデントがクローズされたときに、注目イベントステータスを更新してコメントを追加する場合は、このチェックボックスをオンにします。これは、SIR インシデントを作成する最初のトリガー注目イベントと集計イベントの両方で発生します。

      ソース (Splunk サーバー)

      注目イベントのソースとして構成した Splunk サーバー。複数の Splunk サーバーが構成されている場合は、プロファイル用に更新される注目イベントタイプに適したサーバーを選択します。値を入力する必要があります。
      順序 デフォルトは 100 です。この設定はデフォルトのままにします。

      多数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルがトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
      (オプション) 説明 このプロファイルを他のプロファイルと区別するためのテキスト。

      新しいフィールドマッピングがあるプロファイルの場合は、[ソースタイプ] フィールドに値を入力したことを確認してから、[続行] をクリックして構成のマッピングステップに進みます。

      既存のフィールドマッピングがあるプロファイルの詳細については、次の図とテーブルを参照してください。
      手動:既存のプロファイル
      表 : 2. フィールドマッピングオプションの既存のプロファイルの選択
      オプションまたはフィールド 説明
      フィールドマッピングの既存のプロファイルを選択 新しい注目イベントプロファイルの既存のフィールドマッピングを再利用します。[プロファイルからコピー] フィールドが表示されます。

      このプロファイルの既存のフィールドマッピングをコピーするには、次のステップを実行します。

      1. 表示される [プロファイルからコピー] フィールドの左側にある検索アイコンをクリックします。
      2. 表示される Splunk ES イベントプロファイルリストで、コピーするマップが含まれるプロファイル名をクリックします。

        プロファイル名が [プロファイルからコピー] フィールドに表示されます。
      デフォルトプロファイル

      一致しないソースのある、すべての Splunk 注目イベントのデフォルトイベント転送プロファイル。デフォルトはクリア (無効化) されています。

      このオプションを有効にすると、このプロファイルが手動イベント転送のデフォルトプロファイルになります。

      デフォルトのプロファイルオプションが有効になっている場合、 [ソース] フィールドは使用できません。
      ソース (注目イベントフィールド) これは通常、 総当たり攻撃などの注目をトリガーした相関ルールを定義するフィールドです。

      デフォルトのプロファイルオプションが有効になっている場合、このフィールドは使用できません。

      利用可能な場合、このフィールドは、通常はイベントタイプごとに異なる Splunk 相関ルールに基づいて、セキュリティインシデントフィールドへの一意のイベントフィールドマッピングを許可します。

      さまざまな相関ルールを個別に管理する場合は、相関ルールに基づいてさまざまなプロファイルイベントプロファイルを作成して、この要件を満たすことができます。
      注目イベントを自動化 セキュリティインシデントが注目イベントから作成されたとき、またはセキュリティインシデントがクローズされたときに、注目イベントステータスを更新してコメントを追加する場合は、このチェックボックスをオンにします。これは、セキュリティインシデントを作成する最初のトリガー注目イベントと集計イベントの両方で発生します。

      ソース (Splunk サーバー)

      注目イベントのソースとして構成した Splunk サーバーまたは検索終了。複数の Splunk サーバーが構成されている場合は、プロファイル用に更新される注目イベントタイプに適したサーバーを選択します。値を入力する必要があります。
      順序 デフォルトは 100 です。この設定はデフォルトのままにします。

      複数のプロファイルを作成した場合、この値は、2 つ以上のプロファイルがトリガー条件を共有する場合の実行時の優先度を示します。プロファイル内の番号が最も小さいワークフローの優先度が最も高くなります。
      (オプション) 説明 このプロファイルを他のプロファイルと区別するためのテキスト。

      プロファイルの既存のマッピングを選択するフォームの下部で、[完了] をクリックしてプロファイルの構成を完了します。