違反フィールドのマッピング
ルールを選択した後の次のステップでは、違反、イベント、またはフローフィールドをセキュリティインシデントフォームのフィールドにマップします。
マッピングの概要
マッピングステップでは、最初に 1 つ以上の選択された IBM QRadar ルールのサンプル違反を取り込む必要があります。関連するすべての違反フィールドデータが SIR インシデントフォームの適切な場所にマッピングされていることを確認する必要があります。そうすることで、SIR インシデントをプレビューセクションでビジュアル化できます。
サンプル違反フィールドのマッピングには、次のものが含まれます。
- サンプルデータの取得と入力:「サンプル IBM QRadar 違反の取り込み」を参照してください。
- セキュリティインシデントへの違反フィールドのマッピング:「IBM QRadar 違反フィールドのセキュリティインシデントレスポンスフィールドへのマッピング」を参照してください。