カスタムフィールドマッピングの設定

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • フィールドマッピングを使用すると、テキスト、CSV、JSON などのデータフィードの各フィールドをどのように解釈して対応する観測事象に割り当てるかを設定できます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 すべて > ワークスペース > 脅威インテリジェンスセキュリティセンター > 統合.
    2. 選択 脅威インテルフィード > すべてのフィード > テキスト.
    3. [ 新しいソースの構成] を選択します。
    4. 必要に応じて、テキストフィードフォームの詳細を入力します。
      詳細については、「新しい脅威インテリジェンスフィードの構成」を参照してください。
    5. 新しいフォームビューで、[構成] セクションの [データ解析メカニズム] フィールドにドリルダウンします。
      データ解析メカニズムの詳細については、「 新しい脅威インテリジェンスフィードの構成」を参照してください。
    6. [カスタムフィールドマッピング] オプションを選択します。
    7. [ フィールドマッピング ] セクションに移動します。
    8. [ 構成 ] を選択して、新しいデータソースのフィールドマッピングを追加します。
      このセクションには、サンプルデータの追加、フィールドマッピング、マッピングされたサンプルレコードのプレビューの 3 つのステップが含まれます。
    9. サンプル データを追加するには、[ サンプル データのロード] を選択します。
      選択したオプションのサンプルデータが表示されます。アプリケーションでは、サンプルデータから除外される # で始まる関連データ行と行のみが表示されます。コメント識別子は、システムプロパティ sn_sec_tisc.feed_comment_identifiers を使用して変更できます。

      アプリケーションは、サンプルファイル (.txt、.csv、.json など) から、または構成されたフィード URL ( [詳細 ] セクションに入力されたフィード URL と認証情報) から直接、受信データのサンプルをフェッチします。これにより、フィールドマッピングを定義する前に、データの構造と内容をプレビューできます。

    10. [サンプル ファイルをアップロード] または [フィード URL からフィード データ] を選択します。
      このサンプルデータは、デフォルトで最初の 10 件のレコードをフェッチします。取得されるレコードの合計数は、システムプロパティ sn_sec_tisc.feed_field_mapping_sample_count で変更できます。

      TISC - サンプルデータを追加するフィールドマッピング。

    11. [次へ] を選択して、フィールドマッピングを構成します。
    12. ドロップダウンリストから [ データを解析するための区切り文字を設定 ] オプションを選択します。
      テキストフィードを操作する場合、データを個々のフィールドに正しく解析するために区切り文字は不可欠です。
      このシナリオでは、テキストフィードはパイプ演算子 (|) を区切り文字として使用し、サンプルテキストデータの各値を個別の列に分割します。この区切り文字を正しく識別して適用することは、正確なフィールドマッピングと正常なデータ取り込みのために不可欠です。
      注:
      CSV フィードの場合、カンマ (,) がデフォルトの区切り文字であり、JSON フィードには区切り文字は必要ありません。
    13. [区切り文字を更新] を選択します。
      フィールドマッピングのフィールドを追加するオプションが表示されます。
    14. ドロップダウンリストから適切な値を選択し、フィールドマッピングの追加に進みます。
      TISC フィールドマッピングデータの区切り文字
    15. 変換スクリプトを使用して、入力値を観測事象にマッピングする前に変換および正規化します。
      1. [ 変換スクリプトの有効化/無効化 (Enable/disable transform script )] アイコンを選択して、スクリプトを構成します。
        [ソースフィールドのスクリプトを構成] ダイアログボックスが表示されます。
      2. [ソースフィールドのスクリプトを構成] ダイアログボックスで [変換スクリプトを有効にする] チェックボックスをオンにします。
      3. スクリプトを追加または変更します。

        たとえば、入力フィールドに低、中、高などの値が含まれており、これらの値を数値の信頼性レベル (0 〜 100) にマッピングする場合は、変換スクリプトを使用して入力値を変換し、観測事象の [信頼性 ] フィールドにマッピングできます。

        TISC フィールドマッピング変換スクリプト
      4. [ 保存 ] を選択してスクリプトを保存し、更新されたターゲット値を取得します。
      5. [ ソースフィールドのスクリプトを構成 ] ダイアログボックスを閉じて、次の手順に進みます。
    16. [次へ] を選択して、 [プレビュー] セクションでフィールドマッピングをプレビューします。
      TISC:フィールドマッピングのサンプルデータをプレビューします。
    17. サンプルフィールドマッピングをプレビューし、[ 保存] を選択します。
      フィールドマッピングが正常に保存されたことを示す確認メッセージが表示されます。
      サンプルフィールドマッピングの一環として、アプリケーションは、ユーザーがサンプルデータからマッピングした観測事象タイプ (IP アドレス v4 など) を自動的に識別します。このメカニズムにより、マッピングプロセスが簡素化され、入力に基づいて適切な観測事象タイプがアサインされます。
      重要:
      フィールドマッピング統合実行:このフィードタイプに対して実行されるすべての統合実行では、保存されたフィールドマッピング構成が使用されます。これにより、受信データの解析に一貫性があり、構成中に定義された構造に基づいて正しい観測事象属性にマッピングされます。
      注:
      [ フィールドマッピングを編集] を選択して編集し、必要に応じてフィールドマッピングに必要な変更を加えます。編集を続行するかどうかを確認するアラートメッセージが表示されます。プロンプトを確認し、[ はい ] を選択して続行します。更新されたサンプルデータを使用してフィールドマッピングに必要な変更を加え、変更を保存します。

      フィールドマッピングに加えられた編集内容は、このフィードの今後の統合実行に適用されます。

      変更後は必ずサンプルデータを検証して、統合を実行する前に正しい解析であることを確認してください。