Security Operations での重複ルールの作成

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:2分

    • 重複ルール を使用して、アクティブな重複レコードを含む新しいメール、拡張データ、またはフィールドマップを識別し、それらを適切に処理できます。

    始める前に

    必要なロール:sn_sec_cmn.write

    手順

    1. 移動先 すべて > Security Operations > 重複ルール.
    2. [新規] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      表 : 1. 重複ルール
      フィールド 説明
      名前 重複ルールの名前。
      テーブル レコードが作成され、重複を判断するために使用されるテーブル。
      識別するフィールド これらのフィールドの値が同じである場合に、重複するセキュリティインシデント、観測事象、脆弱性などを示すフィールドのセットを選択します。
      重複アクション 重複するメールの処理方法を制御します。選択肢は次のとおりです。
      子として作成
      元の子としてレコードを作成します。子を親にリンクするフィールドは [親] フィールドです。
      レコードを作成したり更新したりしない
      (デフォルト) 何もしません。重複を無視します。
      重複レコードを更新
      [重複アクション] で指定された既存のレコードのフィールドを更新します。
      注:
      [重複レコードを更新] を選択すると、[重複アクション] 関連リストが表示されます。
      有効 このルールをアクティブ化するには、このチェックボックスをオンにします。
      説明 この重複ルールの目的と適用について記述します。たとえば、「IP ベースの観測事象やファイアウォールからのセキュリティインシデント用に設計されたルール」です。
    4. レコードヘッダーを右クリックして、[保存] を選択するか、[更新] をクリックします。
    5. 重複アクションを設定するには、[重複レコードを更新] を選択した場合は [新規] をクリックして、インシデント内の更新する各フィールドに対して重複アクションを作成します。
    6. フォームのフィールドを入力または編集して、フィールドの更新方法を説明します。
      表 : 2. 重複アクション
      フィールド 説明
      フィールド 複製アクションに使用するフィールドの名前。
      アクション サポートされているアクションはフィールドタイプによって異なります。
      選択肢は次のとおりです。
      このフィールドを新しい値で更新
      既存のレコードの前の値をこの値に置き換えます。
      一意の場合、新しい値をカンマで区切って列挙したリストに追加
      値をカンマ区切りリストのエントリーとして扱い、新しいデータ (存在する場合) をそのリストの新しいエントリーとして追加します。データが既にリストにある場合、2 回追加されることはありません。
      このフィールドに新しい値を追加
      フィールド内の既存のテキストの末尾に新しい値を追加します。
      カウンタフィールドに 1 を追加
      数値フィールドに 1 を加算します。
      フィールドを今日に設定
      フィールドを現在の日時に設定します。
      関連リストに追加
      この値を持つ関連レコードを現在のレコードの関連リストに追加します。更新されるテーブルにリンクされた、同じタイプの列を持つ多対多テーブルがある場合に表示されます。

      たとえば、[影響を受ける CI] または [影響を受けるユーザー] です。
      関係 [オプション] このフィールドは、[関連リストに追加] アクションが選択されている場合にのみ表示されます。このルールに関連付ける関連リストの名前です。
      重複ルール このアクションが含まれているルール。
      テーブル レコードが作成されるテーブル。情報としてのみ表示されます。
      有効 このアクションをアクティブ化するには、このチェックボックスをオンにします。
      関係のある重複アクション
    7. [Submit] をクリックします。
      重複ルール