セキュリティインシデントレスポンス、脆弱性対応、および 脅威インテリジェンス プラグインは、外部および内部情報を セキュリティオペレーション にインポートするために使用される関係性データと重複ルールに関する共通機能を共有しています。

メール解析、重複ルール、および フィールドマッピング は入力データ (メール、JSON または XML ファイル、レコード) を取得し、正しい形式に変換して新しいレコードを作成します。これらの機能はそれぞれ独自の方法でデータをプルしますが、おおむね同じプロセスを使用してデータを新しいレコードに変換します。

関係性データ

関連リスト (セキュリティインシデント内の関連する観測事象など) に情報を追加すると、m2m テーブルで構成される関係性レコードを作成できます。その関係性レコードに設定すべき追加のデータが存在することがあります。たとえば、観測事象が (宛先 IP ではなく) ソース IP である場合です。この情報は、[フィールドマッピング] フォームの [メールの解析] または [フィールドマッピングフィールド] 関連リストで使用される [フィールド変換] フォームの [関係性データ] フィールドに入力されます。

[関係性データ] フィールドは通常空です。このフィールドは、[メールの解析] の観測事象の IP アドレスで最もよく使用されます。

[フィールドマッピング] 機能の [フィールドマッピングフィールド] を使用して、任意の ServiceNow レコードのデータを任意の他の ServiceNow レコードに変換できます。たとえば、あるインシデントからセキュリティインシデントに、またはセキュリティインシデントから PRB にデータを変換します。

Security Operations 重複ルール

重複ルール を使用して、セキュリティ、脆弱性、IoC などの重複レコードを処理します。

重複ルールには 2 つの目的があります。あまり多くの重複レコードが作成されないようにし、重複が検出された場合は、レコードのどのフィールドを更新するかを指定します。アクティブな重複のみが検索されます。レコードがアクティブでない場合、たとえば、インシデントがクローズされている場合、新しく同一の問題が発生すると、新しいインシデントになります。

重複ルールは、[メールの解析]、[フィールドマッピング]、および [拡張データマッピング] で使用されます。