カスタムフィールドマッピングの構成

  • リリースバージョン: Yokohama
  • 更新日 2025年07月21日
  • 所要時間:4分

    • フィールドマッピングを使用すると、テキスト、CSV、JSON などのデータフィードの各フィールドがどのように解釈され、対応する観測事象にアサインされるかを構成できます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 すべて > ワークスペース > 脅威インテリジェンスセキュリティセンター > 統合.
    2. 選択 脅威インテルフィード > すべてのフィード > テキスト.
    3. [ 新しいソースの構成] を選択します。
    4. 必要に応じて、テキストフィードフォームの詳細を入力します。
      詳細については、「新しい脅威インテリジェンスフィードの設定」を参照してください。
    5. 新しいフォームビューで、[構成] セクションの [データ解析メカニズム] フィールドにドリルダウンします。
      データ解析メカニズムの詳細については、「 新しい脅威インテリジェンスフィードの設定」を参照してください。
    6. [ カスタムフィールドマッピング] オプションを選択します。
    7. [ フィールドマッピング ] セクションに移動します。
    8. [ 構成] を選択して、新しいデータソースのフィールドマッピングを追加します。
      このセクションでは、サンプルデータの追加、フィールドマッピング、マッピングされたサンプルレコードのプレビューなどの 3 つのステップを実行します。
    9. サンプルデータを追加するには、[ サンプルデータのロード] を選択します。
      これにより、選択したオプションのサンプルデータが表示されます。アプリケーションでは、 # で始まる関連するデータの行と行のみがサンプルデータから除外されます。コメント識別子は、システムプロパティ sn_sec_tisc.feed_comment_identifiers で変更できます。

      アプリケーションは、サンプルファイル (.txt、.csv、.json など) から、または設定されたフィード URL ( [詳細 ] セクションに入力されたフィード URL と認証情報) から直接、受信データのサンプルを取得します。これにより、フィールドマッピングを定義する前に、データの構造と内容をプレビューできます。

    10. [ サンプル ファイルをアップロード] または [ フィード URL からフィード データ] を選択します。
      このサンプルデータは、デフォルトで最初の 10 件のレコードをフェッチします。取得するレコードのこの合計数は、システムプロパティ sn_sec_tisc.feed_field_mapping_sample_count で変更できます。

      TISC - フィールドマッピング - サンプルデータを追加します。

    11. [ 次へ ] を選択してフィールドマッピングを構成します。
    12. ドロップダウンリストから [ データを解析するための区切り文字を設定する ] オプションを選択します。
      テキストフィードを操作する場合、区切り文字はデータを個々のフィールドに正しく解析するために不可欠です。
      このシナリオでは、テキストフィードは、サンプルテキストデータの各値を個別の列に区切る区切り文字としてパイプ演算子 (|) を使用します。この区切り文字を正しく識別して適用することは、正確なフィールドマッピングとデータ取り込みの成功を確実にするために不可欠です。
      注:
      CSV フィードの場合、カンマ (,) がデフォルトの区切り文字であり、JSON フィードには区切り文字は必要ありません。
    13. [ 区切り文字を更新] を選択します。
      フィールドマッピングのフィールドを追加するオプションが表示されます。
    14. ドロップダウンリストから適切な値を選択して、フィールドマッピングの追加に進みます。
      TISC フィールドマッピングデータの区切り文字
    15. 変換スクリプトを使用して、入力値を変換して正規化してから、観測事象にマッピングします。
      1. [ 変換スクリプトの有効化/無効化 ] アイコンを選択して、スクリプトを構成します。
        [ソースフィールドのスクリプトを構成 (Configure script for source field)] ダイアログボックスが表示されます。
      2. [ソースフィールドのスクリプトを構成 (Configure script for source field)] ダイアログボックスの [変換スクリプトを有効にする] チェックボックスをオンにします。
      3. スクリプトを追加または変更します。

        たとえば、入力フィールドに低、中、高などの値が含まれていて、これらの値を数値信頼性レベル (0 〜 100) にマッピングする場合は、[変換スクリプト] を使用して入力値を変換し、観測事象の [信頼性 ] フィールドにマッピングできます。

        TISC フィールドマッピング変換スクリプト
      4. [ 保存] を選択してスクリプトを保存し、更新されたターゲット値を取得します。
      5. [ ソースフィールドのスクリプトを構成 ] ダイアログボックスを閉じて、次の手順に進みます。
    16. [ 次へ ] を選択して、[ プレビュー ] セクションでフィールドマッピングをプレビューします。
      TISC - フィールドマッピングのプレビューのサンプルデータ。
    17. サンプルフィールドマッピングをプレビューし、[ 保存] を選択します。
      フィールドマッピングが正常に保存されたことを示す確認メッセージが表示されます。
      サンプルフィールドマッピングの一環として、アプリケーションは、ユーザーがサンプルデータからマッピングした観測事象タイプ (IP アドレス v4 など) を自動的に識別します。このメカニズムにより、マッピングプロセスが簡素化され、入力に基づいて適切な観測可能タイプが確実にアサインされます。
      重要:
      フィールドマッピング統合実行:このフィードタイプに対して実行される統合実行では、保存されたフィールドマッピング構成が使用されます。これにより、受信データが一貫して解析され、構成中に定義された構造に基づいて正しい観測事象属性にマッピングされます。
      注:
      [ フィールドマッピングを編集 ] を選択してフィールドマッピングを編集し、必要に応じて必要な変更を加えます。編集を続行するかどうかを確認するアラートメッセージが表示されます。プロンプトを確認し、[ はい ] を選択して続行します。更新されたサンプルデータを使用してフィールドマッピングに必要な変更を行い、変更を保存します。

      フィールドマッピングに加えられた編集は、このフィードの今後の統合実行に適用されます。

      統合を実行する前に、変更後は必ずサンプルデータを検証して、解析が正しいことを確認してください。