Splunk Enterprise Event Ingestion 統合のアラートとイベントのマッピング

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • スケジュール済みアラートの取り込みまたは手動イベント転送のソースを特定したら、次のステップでは、個々のイベントフィールドを ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントのフィールドにマッピングします。

    アラートとイベントのマッピングの概要

    マッピングステップでは、 sn_si.ingestion_profile_admin ロールを持つユーザーが、 Splunk Enterprise コンソールからサンプルアラートを取り込むか、 Splunk Enterprise イベントのイベントデータをエクスポートします。

    次の図は、イベントプロファイルのタイプごとに提供されるデフォルトのマッピンググリッドの例です。このデフォルトのマッピングは編集できます。この変更により、セキュリティインシデントを入力するフィールドをカスタマイズできます。マッピングステップでは、イベントフィールドの追加または削除が SIR セキュリティインシデントフィールド値にどのように影響するかを視覚化できます。

    [アラート名] を選択し、[サンプルデータをフェッチ] をクリックして、サンプルアラートがプロファイルで取り込まれるとフォームの左側に Splunk アラートフィールド値がが入力されます。これらは、SIR セキュリティインシデントフィールドにマップする Splunk アラートフィールドです。

    図 : 1. アラートのデフォルトのマッピングフォーム
    アラートのデフォルトのマッピングフォーム。

    クリックして転送されたイベントの添付ファイルデータをロードすると、フォームの左側に Splunk イベントフィールドが入力されます。これらは、SIR セキュリティインシデントフィールドにマップする Splunk データフィールドです。

    図 : 2. 転送されたイベントのデフォルトのマッピングフォーム
    イベントのデフォルトのマッピングフォーム。

    Splunk コンソールでいくつかのサンプルアラートを確認して、フィールドマッピング構成ステップに取り込むこともできます。このステップは、進捗状況バーで [マッピング] とラベル付けされます。このページが表示されない場合は、進捗状況バーの [マッピング] をクリックします。

    Splunk エンタープライズコンソールからのアラートのマッピングとイベントのオンデマンドエクスポートには、次の概念とタスクが含まれます。
    • 自動的に取り込まれたアラートプロファイルのサンプルデータをフェッチします。Splunk Enterprise コンソールで発生したアラートからデータがフェッチ (プル) されると、使用可能なアラートフィールドとそれに対応する値が、マッピングフォームの左側にあるデフォルトのマッピングレイアウトに表示されます。プルしたアラート ID の値を表示するタブが表示されます。フォームの左側にある [アラートサンプルの取り込み] セクションのすべての重要なフィールドが、フォームの右側のグリッドにマッピングされていることを確認します。
    • 必要に応じて、手動で転送されたイベントプロファイルのイベントサンプルデータをロードします。これらのイベントのサンプルデータは、Splunk Enterprise コンソールから .xml ファイルにエクスポートされ、ServiceNow AI Platform® インスタンスにロードされます。インポートされたデータは、フォームの左側にある [アラートサンプルの取り込み] セクションに表示されます。
    • 左側からアラートをドラッグして、右側のマッピンググリッドにドロップし、マッピング構成を編集します。右側のマッピンググリッドで、[受信アラート] フィールドを [送信セキュリティインシデント] フィールドに関連付けることができます。
    • フィールドを追加または削除して、マッピンググリッドをカスタマイズします。提供されている色分けを使用して、見落とされているフィールドや重複フィールドを追跡します。
    • SIR アプリケーションに取り込むアラートと除外するアラートを指定できるように、フィルター条件を設定します。
    • インシデントが重複しないように、既存の SIR セキュリティインシデントに受信アラートを集計する追加のインシデントフィールド基準を定義します。この追加のフィルタリングにより、関連するすべてのセキュリティイベントデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。
    • 特定の場合、Splunk Enterprise コンソールは SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。たとえば、スクリプトエディターを使用すると、Splunk コンソールの [マルウェアアラート] フィールドと [ウイルス感染] フィールドの値は、どちらも SIR セキュリティインシデントの [カテゴリ] フィールドの [悪意のあるコードアクティビティ] に変換されます。

    スケジュール済みアラートプロファイル

    スケジュール済みアラートプロファイルを作成した後の構成のプロセスフローを次の図に示します。

    図 : 3. スケジュール済みアラートプロファイルのプロセスフロー
    スケジュール済みアラートのプロセスフロー。

    手動イベント転送プロファイル

    イベントのプロファイルを作成した後の構成のプロセスフローを次の図に示します。

    図 : 4. イベントプロファイルのプロセスフロー
    イベントエクスポートのプロセスフロー。

    次のステップでは、トリガーされたアラートまたはエクスポートデータを取り込み、値を SIR セキュリティインシデントフィールドにマップします。