Configurar Mapeamento de campo personalizado

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • O Mapeamento de campos permite configurar como cada campo em um feed de dados, como Texto, CSV ou JSON, é interpretado e atribuído ao observável correspondente.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Procedimento

    1. Navegar até Tudo > Espaços > Central de segurança de inteligência contra ameaças > Integrações.
    2. Selecionar Feeds de inteligência contra ameaça > Todos os Feeds > Texto.
    3. Selecione Configurar nova origem .
    4. Preencha os detalhes do formulário do feed de texto conforme necessário.
      Para obter mais informações, consulte Configure um novo feed de inteligência contra ameaças.
    5. Na nova exibição de formulário, faça um detalhamento até Mecanismo de análise de dados campo em Configuração seção.
      Para obter mais informações sobre o Mecanismo de análise de dados, consulte Configure um novo feed de inteligência contra ameaças.
    6. Selecione Mapeamento de campo personalizado opção.
    7. Navegue até Mapeamento de campo seção.
    8. Selecione Configurar para adicionar o mapeamento de campo para a nova fonte de dados.
      Esta seção envolve três etapas, como adicionar dados de amostra, mapeamento de campo e visualizar os registros de amostra mapeados.
    9. Para adicionar os dados de amostra, selecione Carregar dados de amostra .
      Exibe os dados de amostra da opção selecionada, a aplicação exibe somente as linhas de dados relevantes e as linhas que começam com são excluídos dos dados de amostra. Os identificadores de comentário podem ser modificados com a propriedade do sistema: sn_sec_tisc.feed_comment_identificadores .

      A aplicação buscará uma amostra dos dados de entrada de um arquivo de amostra (como .txt, .csv ou .json) ou diretamente do URL do feed configurado (o URL do feed e as credenciais inseridas no Detalhes ). Isso permite visualizar a estrutura e o conteúdo dos dados antes de definir mapeamentos de campo.

    10. Selecione uma das opções Carregue um arquivo de amostra ou Feed de dados do URL do feed .
      Esses dados de amostra buscarão os primeiros dez registros por padrão. Esse número total de registros a serem recuperados pode ser modificado com a propriedade do sistema sn_sec_tisc.feed_field_mapping_sample_count .

      TISC - Mapeamento de campo que adiciona dados de amostra.

    11. Selecione Próximo para configurar o mapeamento de campo.
    12. Selecione Defina um delimitador para analisar dados opção na lista suspensa.
      Ao trabalhar com feeds de texto, o delimitador é essencial para analisar corretamente os dados em campos individuais.
      Nesse cenário, o feed de texto usa o operador de tubo rígido (|) como o delimitador que separa cada valor nos dados de texto de amostra em colunas distintas. Identificar e aplicar corretamente este delimitador é essencial para garantir o mapeamento de campo preciso e a ingestão de dados bem-sucedida.
      Nota:
      Para feeds CSV, a vírgula (,) é o delimitador padrão e os feeds JSON não exigem nenhum delimitador.
    13. Selecione Delimitador de atualização .
      As opções para adicionar campos para mapeamento de campo são exibidas.
    14. Adicione o mapeamento de campo selecionando os valores apropriados na lista suspensa.
      Delimitador de dados de mapeamento de campo TISC
    15. Use Script de transformação transformar e normalizar os valores de entrada antes de mapeá-los para observáveis.
      1. Selecione Habilitar/desabilitar script de transformação ícone para configurar o script.
        A caixa de diálogo Configurar script para campo de origem é exibida.
      2. Selecione Habilitar script de transformação caixa de seleção em Configurar script para o campo de origem caixa de diálogo.
      3. Adicione ou modifique o script.

        Por exemplo, se o campo de entrada contiver valores como baixo, médio ou alto e você quiser mapear esses valores para níveis de confiança numérica (entre 0 e 100), poderá usar o Script de transformação para converter o valor de entrada e mapeá-lo para Confiança campo do observável.

        Script de transformação de mapeamento de campo TISC
      4. Selecione Salvar para salvar o script para obter o valor de destino atualizado.
      5. Fechar Configurar script para o campo de origem e prossiga para a próxima etapa.
    16. Selecione Próximo para prosseguir para visualizar os mapeamentos de campo no Visualização seção.
      TISC - Dados de amostra de visualização do mapeamento de campo.
    17. Visualize o mapeamento de campo de amostra e selecione Salvar .
      Uma mensagem de confirmação é exibida indicando que o mapeamento de campo foi salvo com sucesso.
      Como parte do mapeamento de campo de amostra, a aplicação identifica automaticamente o tipo de observável (como endereço IP v4 e assim por diante) que o usuário mapeou a partir dos dados de amostra. Este mecanismo simplifica o processo de mapeamento e garante que os tipos de observáveis apropriados sejam atribuídos com base na entrada.
      Importante:
      Execução de integração de mapeamento de campo: Qualquer execução de integração realizada para este tipo de feed usará a configuração de mapeamento de campo salva. Isso garante que os dados de entrada sejam consistentemente analisados e mapeados para os atributos observáveis corretos com base na estrutura definida durante a configuração.
      Nota:
      Selecione Editar mapeamento de campo para editar e fazer as mudanças necessárias no mapeamento de campo, se necessário. Uma mensagem de alerta é exibida para confirmar se você deseja prosseguir com a edição. Confirme o prompt e selecione Sim para continuar. Faça as mudanças necessárias nos mapeamentos de campo usando os dados de amostra atualizados e salve as mudanças.

      Todas as edições feitas no mapeamento de campo serão aplicadas às futuras execuções de integração para este feed.

      Sempre verifique os dados de amostra após as mudanças para garantir a análise correta antes de executar a integração.