セキュリティインシデントの自動作成
Splunk などのサードパーティのモニタリングツールからインポートされたセキュリティイベントでセキュリティインシデントが自動的に生成されるように、それらのツールと セキュリティインシデントレスポンス を統合できます。サードパーティツールからセキュリティアラートにデータをインポートすることもできます。
アラートモニタリングツールを セキュリティインシデントレスポンス に統合するには、REST API を使用してセキュリティインシデントインポート [sn_si_incident_import] テーブルに書き込む必要があります。次に、[セキュリティインシデントの変換 (Security Incident Transform)] 変換マップを使用して、インポートセットのソーステーブルをターゲットセキュリティインシデント [sn_si.incident] テーブルのフィールドにマッピングします。
変換マップによって認識されない CI レコードをインポートしようとすると、変換マップスクリプトは次のレコードを (次の順序で) チェックして一致を確認します。
- sys_id
- CI 名
- 完全修飾ドメイン名
- IP アドレス
注:
使用しているサードパーティのアラートモニタリングツールに対して [セキュリティインシデントの変換 (Security Incident Transform)] 変換マップが適切でない場合は、必要に応じて変換マップを複製して、新しいマップを作成し、フィールドを編集します。