インシデントフィールドのマッピング

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:8分

    • Microsoft Defenderインシデントフィールドとイベントフィールドを SIR インシデントターゲットフィールドにマッピングします。

    始める前に

    必要なロール:sn_si.admin、sn_si.ingestion_profile_admin

    手順

    1. [名前] 基準の前のセクションに進まない場合は、定義しているプロファイルにアクセスします。
      1. 移動先 すべて > Microsoft Defender 統合 > Defender インシデントプロファイル.
      2. 定義を続行するプロファイルを選択します。
      3. 進捗状況バーの [ マッピング ] を選択します。
    2. [Defender インシデントフィールドマッピング] セクションでいずれかのサンプル取り込み方法を選択します。
      表 : 1. サンプルの取り込み方法
      フィールド 説明
      すべてのデフォルトのインシデントおよび証拠ファイル この取り込み方法を使用して、すべての [インシデント] フィールドと [イベント] フィールドの静的リストを表示します。この方法には、値のないデフォルトのフィールド名のみが含まれます。
      最近の Defender インシデントを取得 この取り込み方法を使用して、最新の Defender インシデントをインポートします。

      Defender インシデントに複数のアラートが含まれている場合は、インシデントの一部である最も古いアラートがマッピングセクションに表示されます。取り込み中も、最も古いセキュリティアラートフィールド値が使用されます。

      5 つのサンプルインシデントを取り込むことができます。

      サンプルフィールド値は、プロファイルがサンプルインシデントを取り込むときに入力されます。これらのインシデントを [SIR インシデントターゲットフィールド (SIR Incident Target Fields)] にマッピングできます。インシデントのフィールドと値は個別のタブとして表示されます。
      ID に基づいて Defender インシデントを取得 インシデント ID (カンマ区切り) インシデント ID をカンマで区切って指定します。

      5 つのインシデント ID を取り込むことができます。
    3. セキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のアクションを実行します。
      1. [SIR インシデントターゲットフィールド] セクションの [ 別のフィールドをマッピング] ボタン を選択します。
        SIR フィールドのリストが表示され、そこから新しいフィールドを選択できます。
      2. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できます。たとえば、[観測事象] フィールドは異なる値で複数回マッピングできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、このフィールドは複数の値をサポートしていないというエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      3. [インシデントフィールド] セクションから、フィールドをドラッグして新しいフィールドにマップします。
      4. フィールドに対応するチェックボックスをオンにすると、Defender で行われた新規または更新された変更によって、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        注:
        ベースシステムでは、SIR にリンクされた新しいインシデントに関連する Defender の更新を受信するには、システムプロパティ sn_sec_def_sntl.incident_updates がデフォルトで True に設定されています。
        • デフォルトでは、[影響を受けるユーザー]、[構成アイテム]、および [観測可能] フィールドはオンになっています。つまり、新しい観測可能項目、関連する構成アイテム、または影響を受けるユーザーがインシデントに追加されるたびに、その情報が自動的に抽出され、そのポーリング間隔中にセキュリティインシデントレスポンス (SIR) のそれぞれの関連リストに入力されます。
        • その他のフィールドについては、Defender 内の Defender インシデントレコードに加えられた新規または更新された変更のフィールドに対応するチェックボックスを選択する必要があります。これにより、それぞれの SIR インシデントデータが新しいインシデントデータに自動的に置き換えられます。
        重要:
        既存のデータを上書きすると、アナリストのデータが不安定になり、セキュリティインシデントのフィールド値によっても設定されている他の自動化も影響を受ける可能性があるため、この機能を選択する前にデューデリジェンスを行う必要があります。そのため、上書き機能を選択する前にデューデリジェンスを行うことが重要です。
    4. フィールドを削除するには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションの入力式フィールドの横にある [削除] ボタン [アイテムを削除] ボタンを使用します。
    5. [インシデントおよびイベントフィールド] セクションのフィールド値を [SIR インシデントターゲットフィールド] セクションのフィールドにマッピングするには、次のいずれかのアクションを使用します。
      1. [インシデント] フィールド名 (ID など) をドラッグし、[SIR インシデントターゲットフィールド] 列のフィールド名の横にドロップします。

        [インシデントフィールド] および [イベントフィールド] セクションの任意の値を [SIR インシデントターゲットフィールド] セクションのフィールドと照合できます。マッピングプロセスでインシデントフィールドを見落としたり重複したりしないように、フィールドは色分けされています。ライトブルーのフィールドは、インシデントフィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信インシデントフィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要なインシデント情報を視覚的に把握できます。

      2. テキストとフィールドの組み合わせを追加できます。
        たとえば、 インシデント名は ${Incidents: name}$ です。ここでは、${Incidents: ${name}$ は [インシデントおよびイベントフィールド] セクションからマッピングされますが、インシデント名は手動で入力できます。
      3. ソースの [インシデント] または [イベント] フィールドを手動で入力してターゲットフィールドにマッピングできます。
        • ソースインシデントフィールドを手動でマッピングするには、${field name}$ 形式を使用します。たとえば、インシデントフィールド [重大度] をマッピングする場合の形式は ${incidentWebUrl}$ です。
        • [インシデント] フィールドと [イベント] フィールドを手動で追加するには、 ${evidenceName: evidenceField}$ 形式を使用します。たとえば、 ${Alert: category}$, ${deviceEvidence: healthStatus}$ などです。
      この統合は、特定の観測事象サブタイプを分類します。Defender フィールドを SIR 観測事象フィールドにマッピングすると、観測事象が自動分類されます。受信 Defender 観測事象を観測事象タイプに汎用的にマッピングする場合は、[観測事象] フィールドに [インシデント] フィールドと [イベント] フィールドをドラッグします。ただし、受信 Defender 観測事象の観測事象タイプを認識している場合は、具体的に [観測事象タイプ] フィールドにマッピングします。の特定の観測事象タイプの例としては、観測事象 (ドメイン名)、観測事象 (メールアドレス)、観測事象 (IP アドレス (V4))、観測事象 (ホスト名) などがあります。

      Defender のインシデントフィールド値が SIR セキュリティインシデントのフィールドに直接変換されない場合があります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。

    6. セキュリティインシデントのフィールド値と一致するように、Defender インシデントの新しいフィールドのフィールド変換をフォーマットするには、[SIR インシデントターゲットフィールド] ヘッダーの [ここをクリック] リンクを選択します。
    7. フィールド変換をサポートするフィールドを変更するには、[ フィールド形式] ボタン スクリプト形式フィールド変換アイコンを選択します。
      フィールド変換をサポートするフィールドは、[ 影響を受けるユーザー]、[ 構成アイテム]、および [優先度] です。たとえば、[カテゴリ] の横にある [フィールド形式] ボタン アイコンを選択します。Defender フィールド変換スクリプトエディターが開きます。
    8. スクリプトへの変更を入力し、[ 更新 ] を選択して変更を保存し、[マッピング] ページに戻ります。
      たとえば、カテゴリの場合はスクリプトエディターで次のように定義します。
      "<Incoming Defender Field Value>":"<Category to assign to the Security Incident>".
      このマッピングにより、プロファイルが構成済みのカテゴリのみを使用することを確認できます。
    9. フィールド値を追加または削除してマッピングを続行します。
      インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成するために受信インシデントが満たす必要がある追加の条件を定義することができます。

      インシデントフィールドのマッピング

    10. [続行] を選択します。

    次のタスク

    フィルターと集計基準の定義