検出フィールドのマッピング

  • リリースバージョン: Zurich
  • 更新日 2026年06月17日
  • 所要時間:9分

    • 個々の CrowdStrike 次世代検出フィールドを SIR セキュリティインシデントのフィールドにマッピングし、マッピングされたデータを使用して検出を作成できるようにします。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミンが利用できるすべての操作を実行できます。

    手順

    1. マッピングページの [CrowdStrike 次世代フィールドマッピング (CrowdStrike Next-Gen Field Mapping)] セクションで、いずれかの [サンプル取り込み方法] を選択します。
      表 : 1. サンプルの取り込み方法
      フィールド 説明
      すべてのデフォルトの検出およびイベントフィールド この取り込み方法を使用して、すべての検出フィールドとイベントフィールドの静的リストを表示します。この方法には、値のないデフォルトのフィールド名のみが含まれます。

      この情報を使用して SIR フィールドとマッピングできます。
      最近の検出を取得 この取り込み方法を使用して、最新の検出とエンティティデータをインポートします。

      CrowdStrike 次世代検出に複数のアラートが含まれている場合、検出の一部である最も古いアラートがマッピングセクションに表示されます。取り込み中も、最も古いセキュリティアラートフィールド値が使用されます。

      5 つのサンプル検出を取り込むことができます。

      サンプル検出フィールドの値は、プロファイルがサンプル検出を取り込むときに入力されます。これらの検出を SIR インシデントターゲットフィールドにマッピングできます。検出フィールドと値は個別のタブとして表示されます。
    2. セキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のアクションを実行します。
      1. [SIR インシデントターゲットフィールド] セクションで、[ 別のフィールドをマッピング] ボタンを選択します。[別のフィールドをマッピング (Map another field)] ボタンをクリックします。
        SIR フィールドのリストが表示され、表示する新しいフィールドのフィールドを選択できます。
      2. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できます。たとえば、[観測事象] フィールドは異なる値で複数回マッピングできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、このフィールドは複数の値をサポートしていないというエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. [検出およびイベントフィールド] セクションから、フィールドをドラッグアンドドロップして新しいフィールドにマッピングします。
      4. フィールドに対応するチェックボックスをオンにすると、CrowdStrike で行われた新規または更新された変更により、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        注:
        ベースシステムでは、SIR にリンクされている新しいアラートに関連する CrowdStrike 次世代アップデートを受信するために、システムプロパティ sn_sec_cs_ngsiem.detection_updates はデフォルトで False に設定されています。
        • デフォルトでは、[影響を受けるユーザー]、[構成アイテム]、および [観測可能] フィールドはオンになっています。つまり、新しい観測可能項目、関連する構成アイテム、または影響を受けるユーザーがインシデントに追加されるたびに、その情報が自動的に抽出され、そのポーリング間隔中にセキュリティインシデントレスポンス (SIR) のそれぞれの関連リストに入力されます。
        • その他のフィールドについては、CrowdStrike 内の CrowdStrike 検出レコードに加えられた新規または更新された変更のフィールドに対応するチェックボックスをオンにする必要があります。これにより、それぞれの SIR インシデントデータが新しい検出データで自動的に更新されます。
        重要:
        既存のデータを上書きすると、アナリストのデータが不安定になり、セキュリティインシデントのフィールド値によっても設定されている他の自動化も影響を受ける可能性があるため、この機能を選択する前にデューデリジェンスを行う必要があります。そのため、上書き機能を選択する前にデューデリジェンスを行うことが非常に重要です。
    3. フィールドを削除するには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションの入力式フィールドの横にある [削除] ボタン [アイテムを削除] ボタンを使用します。
    4. [検出およびイベントフィールド] セクションのフィールド値を [SIR インシデントのターゲットフィールド] セクションのフィールドにマッピングするには、次のいずれかのアクションを使用します。
      1. 検出フィールド名 (id など) をドラッグし、[SIR インシデントターゲットフィールド] 列のフィールド名の横にドロップします。

        [検出およびイベントフィールド] セクションの任意の値を SIR インシデントの [ターゲットフィールド] セクションのフィールドと照合できます。マッピングプロセスでフィールドを見落としたり重複検出フィールドが見つかったりしないように、フィールドは色分けされています。ライトブルーのフィールドは、検出フィールドがまだ選択されておらず、セキュリティインシデントにマッピングされていないことを示します。受信検出フィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なインシデント情報を視覚的に把握できます。

      2. テキストとフィールドの組み合わせを追加できます。
        たとえば、 検出名は ${Detections: name}$ です。ここでは、 検出名は 手動で入力でき、 ${Detections: name}$ は [検出およびイベントフィールド] セクションからマッピングされます。
      3. ソース検出フィールドまたはイベントフィールドを手動で直接入力し、ターゲットフィールドにマッピングできます。
        • ソース検出フィールドを手動でマッピングするには、${field name}$ 形式を使用します。たとえば、検出フィールドの [重大度] をマッピングする場合、形式は ${Detections: severity}$ です。
        • ソースイベントフィールドを手動で追加するには、 ${events names: events fields}$ 形式を使用します。たとえば、イベントセキュリティアラートのイベントフィールドの説明をマッピングする場合、形式は ${Events: description}$ です。
      この統合は、特定の観測事象サブタイプを分類します。CrowdStrike 次世代フィールドを SIR 観測事象フィールドにマッピングすると、 ServiceNow AI Platform によって観測事象が自動分類されます。受信 CrowdStrike 次世代観測事象を SIR の観測事象タイプに汎用的にマッピングする場合は、[観測事象] フィールドに [検出とイベント] フィールドをドラッグアンドドロップします。ただし、 SIR で受信した CrowdStrike 次世代観測事象の観測事象タイプを認識している場合は、 SIR [観測事象タイプ] フィールドに具体的にマッピングします。SIR の具体的な観測事象タイプの例には、[観測事象 (ドメイン名) (Observable(Domain name))]、[観測事象 (メールアドレス) (Observable(Email address))]、[観測事象 (IP アドレス (V4)) (Observable(IP address (V4)))]、および [観測事象 (ホスト名) (Observable(Host name))] が含まれます。

      受信 CrowdStrike 次世代フィールドに MITRE-ATT&CK 情報が含まれている場合は、それを [ MITRE-ATT&CK テクニック] フィールドにマッピングします。受信した CrowdStrike 次世代フィールドに MITRE-ATT&CK テクニック ID またはテクニック名が含まれていることを確認します。

      CrowdStrike Next-Gen の検出フィールド値は、SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。

    5. セキュリティインシデントのフィールド値と一致するように、CrowdStrike 次世代検出からの新しいフィールドのフィールド変換をフォーマットするには、[SIR インシデントターゲットフィールド] ヘッダーの [ここをクリック] リンクを選択します。
    6. フィールド変換をサポートするフィールドを変更するには、[ フィールド形式] ボタン のスクリプト形式フィールド変換アイコンを選択します。
      フィールド変換をサポートするフィールドは、[ 影響を受けるユーザー]、[ 構成アイテム]、および [優先度] です。たとえば、[カテゴリ] の横にある フィールド形式ボタン アイコンをクリックします。CrowdStrike 次世代フィールド翻訳スクリプトエディターが開きます。
    7. スクリプトへの変更を入力し、[ 更新 ] を選択して変更を保存し、[マッピング] ページに戻ります。
      たとえば、カテゴリの場合はスクリプトエディターで次のように定義します。
      "<Incoming CrowdStrike Detection Field Value>" : "<Category to assign to the Security Incident>".
      このマッピングにより、プロファイルが構成済みのカテゴリのみを使用するようになります。
    8. フィールド値を追加または削除して、マッピングを続行します。
      検出生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成するために受信検出が満たす必要がある追加の条件を定義できます。
    9. [フィルター処理と集計] セクションに移動するには、 [ 続行] を選択します。

    次のタスク

    フィルター条件を定義して設定すると、セキュリティインシデントを作成する検出を指定できます。検出生成条件ビルダー ([フィルタリングと集計] セクション) で同じフィールド値 ([マッピング] セクションで定義) を使用して、セキュリティインシデントを作成するために受信検出が満たす必要がある追加の条件を定義できます。