Security Operations フィールドマッピングを使用したテーブル間のマッピング

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • セキュリティオペレーション はより細やかなフィールドマッピングを提供するため、セキュリティオペレーション テーブルを他のテーブルにマップできます。

    始める前に

    必要なロール:sec_cmn.write

    手順

    1. 次のように移動する。 All (すべて) > セキュリティオペレーション > ユーティリティ > フィールドマッピング.
    2. [New] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      表 : 1. フィールドマッピング
      フィールド 説明
      名前 フィールドマップの名前。
      ソーステーブル 宛先テーブルにレコードを作成するために使用するデータを提供するテーブル。
      重複ルール 重複レコードを生成するソースレコードの処理方法を制御します。詳細については、「共有データ変換」を参照してください。
      宛先テーブル 新しいレコードが作成されるテーブル。
      有効 このマッピングをアクティブ化するには、このチェックボックスをオンにします。
      注:
      一度にアクティブにできるテーブル間のマッピングは 1 つだけです。2 つのマップに同じテーブルが含まれている場合、古いバージョンは自動的に非アクティブ化されます。
      説明 フィールドマップの説明。
    4. 入力が完了したら、フォームヘッダーを右クリックし、[保存] を選択します。
      [フィールドマッピングフィールド] タブが表示されます。このレコードは、このフィールド変換によって作成されたレコードのターゲットフィールドに格納されるデータを定義します。
      フィールドマッピングフォーム
    5. [新規] をクリックします。
    6. 必要に応じて、フォームのフィールドに入力します。
      オプション説明
      フィールド 説明
      フィールドまたは関連リストに値を保存する 値を検索する場所を選択します。次の選択肢があります。
      • レコード内のフィールドに新しい値を追加する
      • 関連リスト内で、この値にリンクする
      • この値にリンクし、一致するレコードが存在しない場合、レコードを作成する
        注:
        宛先テーブルに関連リストがない場合、このフィールドは表示されません。
      フィールド [フィールドまたは関連リストに値を保存する][レコード内のフィールドに新しい値を追加する] に設定されている場合、このフィールドは入力するフィールドを指定します。
      注:

      選択肢フィールドの場合、基礎となる選択肢のラベルまたは値を使用して、既存の選択肢が照合されます。一致するものが見つからない場合、フィールドは設定されますが、新しいエントリーは選択リストに追加されません。詳細については、次を参照してください: 選択リスト

      参照フィールドの場合、レコードの表示名に一致する値または有効な sys_id が見つかった場合にのみ、エントリーが設定されます。詳細については、次を参照してください: 参照フィールド
      関連リスト

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] または [この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、このフィールドは情報を追加する関連リストを指定します。
      値フィールド

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] または [この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、このフィールドは関連リストに表示されるテーブル内のフィールド (既存レコードのルックアップと検索に使用される) を指定します。たとえば、関連リストが [影響を受ける CI] である場合、このフィールドには [名前] または [完全修飾ドメイン名] が含まれている可能性があります。そうでない場合、CI のルックアップに使用する必要がある CI レコードの他のフィールドが [影響を受ける CI] リストに追加されます。
      関係性データ

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] に設定されている場合、そのレコード (セキュリティインシデントなど) を値 (CI、観測事象など) にリンクするために新しいレコードが作成されます。このフィールドは、そのリンクレコードに追加する必要がある追加情報 (フィールドと値のペア) を指定します。たとえば、ソース IP の観測事象を追加する場合、この IP が宛先 IP ではなくソースであることを指定できます。複数の値の場合は、^ 区切り文字を使用します (例:type= Source IP^active=true)。
      新規レコードデータ [フィールドまたは関連リストに値を保存する][この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、解析された値に一致する関連レコードが見つからないときは、新しいレコードが作成されます。このフィールドは、そのレコードに追加する静的データを指定します。たとえば、[影響を受ける CI] では、CI が見つからない場合、この設定は新しい CI が作成されることを示します。ソースレコードで検出された値が CI レコードの [値] フィールドに設定されます。追加のデータ (この CI が作成された理由を示すメモ、使用する CI のタイプに関する情報) を設定できます。サンプル:description=Created by malware Incident report^type=autodetect
      値のセパレータ

      [フィールドまたは関連リストに値を保存する][関連リスト内で、この値にリンクする] または [この値にリンクし、一致するレコードが存在しない場合、新しいレコードを作成する] に設定されている場合、このフィールドはアイテムのリストに使用するセパレータ (一般的にカンマまたはセミコロン) を指定します。
      値のタイプ [フィールドまたは関連リストに値を保存する][レコード内のフィールドに新しい値を追加する] に設定されている場合、このフィールドは値のタイプを指定します。次の選択肢があります。
      • ソースフィールドレコード (Source field record)
      • このフィールドに新しい行として追加
      • 静的値
      • 静的値とソースレコードフィールド値
      ソースフィールド 宛先フィールドまたは選択した関連リスト内に配置される値を含むソースフィールドを選択します。
      静的フィールド (Static field) フィールドの静的値。
      値の変換 適用するフィールド値変換エントリーを選択します。これは、レコード間で選択肢フィールドをマッピングするために使用されます。たとえば、セキュリティインシデントの [カテゴリ] 選択肢のセットを変更要求の適切な [タイプ] フィールドに変換します。
      宛先テーブル 宛先テーブルが自動入力されます。
      フィールドマッピング 親フィールドマップが自動入力されます。
      ソーステーブル ソーステーブルが自動入力されます。
    7. [送信] をクリックします。