新しい脅威インテリジェンスフィードの構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:10分

    • 新しい脅威インテリジェンスフィードを構成します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    新しい脅威インテリジェンスフィードを構成するには、次の手順に従います。

    手順

    1. 移動先 すべて > ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. 統合アイコンをクリックします。
    3. 選択 脅威インテルフィード > すべてのフィード.
    4. [新しいデータソースを構成 (Configure new source)] をクリックします。
      さまざまなフィードタイプが表示されます。

      TISC のすべてのフィード - 新しいソースを構成

    5. 各フィードタイプを選択します。
    6. フォームで、フィールドに入力します。
      表 : 1. 新しいデータソースの構成
      フィールド 説明
      名前 フィードの名前を入力します。
      説明 フィードの説明。
      フィードタイプ フィードのタイプ。MISP など。

      デフォルトでは、この値はカタログで選択したフィードのタイプに基づいて表示されます。
      ロゴ ソースフィードのロゴを添付します。
      注:
      サイズは 72px/72px にする必要があります。
      業種 フィードが適用される産業カテゴリ (航空宇宙、農業など) を選択します。
      ソースタイプ 利用可能なソースタイプのリストからソースタイプを選択します。利用可能なソースのリストは次のとおりです。
      • 政府
      • ISAC
      • オープンソース
      • プレミアムソース
      • その他のソース
    7. [選択] をクリックします。
    8. 必要に応じて、[構成] セクションのフィールドに入力します。
      表 : 2. 構成
      フィールド 説明
      有効期限 (日数) (Expiry Period (days)) フィードの有効期間を日単位で入力します。例:「180 日」など。
      注:
      ソースから取り込まれたデータはすべて、取り込みから 180 日後に有効期限が切れます。
      REST メッセージを使用 ServiceNow AI Platform の REST メッセージ / REST メソッド機能を使用する必要がある場合は、[REST メッセージを使用] チェックボックスをオンにします。

      このチェックボックスがオフになっている場合、アプリケーションは [REST エンドポイント URL ] で指定されたエンドポイントを使用してフィードからデータを取得します。詳細については、ServiceNow AI Platform ドキュメントの「送信 REST Web サービス」を参照してください。

      注:
      REST メッセージを選択する場合は、[REST メッセージ] フィールドと [REST メソッド] フィールドが必須です。
      REST メッセージ インスタンスで既に構成されている REST メッセージレコードのリストから、REST メッセージレコードを選択します。詳細については、ServiceNow AI Platformドキュメントの「送信 REST Web サービス」を参照してください。
      注:
      特定のヘッダーを表示する必要がある場合はこの値を選択して、[REST メッセージ] オプションで REST 関連のレコードを定義します。
      REST メソッド 選択した REST メッセージに対して構成されている利用可能な REST メソッドのリストから REST メソッドを選択します。詳細については、ServiceNow AI Platformドキュメントの「送信 REST Web サービス」を参照してください。
      信頼性 この特定のフィードから取り込まれた適用可能なすべてのレコードに対する信頼度を設定します。
      注:
      このソースの信頼度を 0 〜 100 の範囲で設定します。
      データ解析メカニズム 適切なデータ解析メカニズムのオプションを選択します。使用可能なオプションは、次のとおりです。
      • 自動 IoC 抽出:このオプションは、テキスト、CSV、または JSON フィードの構成時にデフォルトで選択されています。
      • カスタムフィールドマッピング:フィードデータ内の特定のフィールドを観測事象の属性にどのようにマッピングするかを定義する場合は、このオプションを選択します。

        選択すると、[ フィールドマッピング ] セクションでマッピングを構成できます。カスタムフィールドマッピングの詳細については、「 カスタムフィールドマッピングの設定」を参照してください。

      注:
      データ解析メカニズムオプションは、フィードレポート プロセッサSimpleFeedDatasourceResponseProcessor に設定されているテキストフィード、CSV フィード、および JSON フィードでのみ使用できます。
      REST エンドポイント URL 脅威インテリジェンスフィードでデータがホストされている REST エンドポイントの URL を入力します。
      注:
      MISP フィードタイプの場合、 /manifest.json で終わる REST エンドポイント URL がサポートされています。
      認証が必要 新しい脅威インテリジェンスフィードに認証が必要な場合は、このチェックボックスをオンにします。
      注:
      これは、REST エンドポイント URL を使用してデータを取得する場合にのみ適用されます。
      認証タイプ ソースフィードの認証タイプ。ユーザーにおいてベースシステム内で構成およびプロビジョニングされる認証タイプは次のとおりです。
      • API ID / API キー
      • API ID / API シークレット
      • API キー
      • API キー / API シークレット
      • API ユーザー名 / API パスワード / API キー
      • ベーシック認証
      要求とともに渡されるヘッダー 要求とともに渡されるヘッダーは、要求ヘッダーマッピングで指定できます。
      • ヘッダーはキーと値のペアで指定され、コロン (:) で区切る必要があります。
      • ヘッダーの各キー値のペアは、新しい行で指定する必要があります。
      • 認証パラメーターをヘッダー値として指定する場合、必要な認証ラベルを「${」と「}$」で囲みます。例:「x-api-key:${API キー}$」など。
      詳細 カスタム統合スクリプトやレポートプロセッサスクリプトを定義する場合、このチェックボックスをオンにします。
      注:
      このチェックボックスをオンにすると、[ 統合スクリプト ] フィールドと [ レポートプロセッサ ] フィールドが表示され、カスタムスクリプトを選択できます。
      統合スクリプト 統合スクリプトは、フィードで構成されている認証パラメーターやヘッダーを使用して REST エンドポイント URL への呼び出しを起動し、特定のフィードから利用可能なデータを取得します。
      以下は、ベースシステム内で利用可能なカスタムスクリプトインクルードです。統合スクリプト用にアプリケーション内でプロビジョニングされます。
      • MITRESourceIntegration:MITRE フィードからデータをフェッチするために使用されます。
      • RSSFeedDatasourceIntegration:RSS フィードからデータをフェッチするために使用されます。
      • SimpleFeedDatasourceIntegration:認証またはベーシック認証のないシンプルフィードからデータをフェッチするために使用されます。
      • SimpleMISPFeedDatasourceIntegration:ホストされている MISP フィードからデータをフェッチするために使用されます。

      デフォルトの統合スクリプトは、選択したフィードタイプに基づいています。たとえば、データを処理およびフェッチするための標準形式である MISP フィードタイプを選択した場合、統合スクリプトは SimpleMISPFeedDatasourceIntegration になります。

      注:

      カスタム統合スクリプトの場合、「FeedDatasourceIntegrationBase」を拡張してスクリプトインクルードを作成し、必要なメソッドを上書きすることができます。
      プロセッサをレポート

      レポートプロセッサスクリプトは、統合スクリプトを使用してフィードからフェッチされたデータを処理します。

      ベースシステムには、レポートプロセッサスクリプトをサポートするためにアプリケーション内でプロビジョニングされる次のカスタムスクリプトが含まれています。
      • AtomFeedDatasourceResponseProcessor:Atom 形式の RSS フィードの処理に使用されます。
      • MITRECollectionDataProcessor:MITRE フィードの処理に使用されます。
      • RSSFeedDatasourceResponseProcessor:RSS フィードの処理に使用されます。
      • SimpleDataplaneFeedResponseProcessor: データプレーン フィードの処理に使用されます。
      • SimpleFeedDatasourceResponseProcessor:観測事象の正規表現抽出を使用した簡易フィードの処理に使用されます。
      • SimpleFeodotrackerFeedResponseProcessor: Feodotracker フィードの処理に使用されます。
      • SimpleMISPFeedDatasourceResponseProcessor:ホストされている MISP フィードの処理に使用されます。
      • TAXIIV2CollectionDataProcessor:TAXII 収集データの処理に使用されます。

      MISP フィードのデフォルトのレポートプロセッサは SimpleMISPFeedDatasourceResponseProcessor です。このプロセッサーはアプリケーションによって事前設定されており、変更や置換はできません。
    9. 必要に応じて、[スケジュール] セクションのフィールドに入力します。
      表 : 3. スケジューリング
      フィールド 説明
      ラン レコードを取り込む頻度を設定します。フィードは、ジョブのスケジュール間隔に基づいて実行されます。使用可能なジョブ間隔は、以下のとおりです。
      • 日次
      • 週次
      • 月次
      • 定期的
      • 1 回
      • オンデマンド
      • ビジネスカレンダー: エントリー開始
      • ビジネスカレンダー: エントリー終了
      注:
      デフォルトでは、頻度は [オンデマンド] に設定されています。
      詳細については、「スケジュール済みジョブ」および「選択したスクリプトを自動的に実行する方法」を参照してください。
      データのフェッチ元 開始日は、データフェッチが必要になる最初の日となります。このフィールドでは時刻を設定する必要があります。この時刻は、該当のソースからデータを取り込む必要がある時刻となります。このフィールドが設定されると、次の取り込み実行では設定された時刻にデータがフェッチされ、取り込み実行が継続的に行われる場合は増分のデータが取得されることになります。

      たとえば、1 時間ごとにデータを取り込むようにソースをスケジュール設定します。ユーザーが 1 月 12 日午前 9 時 30 分に [ データフェッチの開始日時] を 1 月 12 日午前 6 時 00 分に設定し、取り込みのトリガーが 1 月 12 日午前 10 時に行われると、1 月 12 日午前 6 時~ 1 月 12 日午前 10 時までのデータが取得されます。次の取り込みのトリガーは午前 11:00 になり、1 月 12 日午前 10 時~ 1 月 12 日午前 11 時までの増分データのみがフェッチされます。

      注:
      つまり、スケジュールされた実行では、指定された日時以降にデータが追加的にフェッチされることになります。
      重要:
      また、これはテキスト、CSV、JSON フィードには適用されません。
      表 : 4. タグ
      フィールド 説明
      タグを選択 タグを使用して、ソースからシステムに取り込まれたレコードに注釈や目印を付けます。[検索] バーにタグ名を入力して、アプリケーションで使用可能なタグを選択するか、新しいタグ名を入力して [追加] をクリックし、ソースに割り当てます。
    10. [保存] アクションをクリックして、フィードを保存および作成します。
      指定された詳細情報が検証されます。デフォルトではフィードのステータスが無効になっています。
    11. オプション: [ ドラフトとして保存] アクションをクリックすると、フィード構成がドラフトとしてのみ保存されます。
      ドラフトとして保存されたフィードは有効化できません。構成の詳細が不明な場合は、[下書きとして保存する] のオプションを利用して構いません。構成の詳細を取得したら、残りの情報をドラフトバージョンに入力して作成できます。
    12. [有効化] をクリックしてレコードを有効化します。
      脅威インテリジェンスフィードレコードが有効になったら、そのレコードを実行して統合を実行できます。
      注:
      • 脅威インテリジェンスフィードレコードにラベルが付けられ、 有効として示されます。同様に、[ 無効化] ボタンをクリックすると、脅威インテリジェンスフィードを無効にすることができます。
      • [カタログ] または [脅威インテリジェンスフィード] ページでは、必要なフィードのタイルのアクションメニューから特定のフィードを有効化、無効化、削除することもできます。
    13. [削除] をクリックして、脅威インテリジェンスフィードレコードを削除します。
    14. [統合実行] セクションを選択して、実行の詳細情報を確認します。
      注:
      上記の脅威インテリジェンスフィードの構成手順は、STIX TAXII を除く他のすべての脅威インテリジェンスフィードタイプでも同じです。STIX TAXII の構成方法について、詳細は「新しい TAXII フィードを構成する」を参照してください。