IBM QRadar 違反フィールドのセキュリティインシデントレスポンスフィールドへのマッピング
個々の違反、イベント、およびフローフィールドを ServiceNow AI Platform SIR セキュリティインシデントのフィールドにマッピングします。
違反フィールドのマッピング
sn_si.admin ロールを持つユーザーとして、左側の [サンプル違反] セクションのフィールドを使用し、[SIR インシデントフィールドマッピング] 列の [セキュリティインシデント] フィールドにマップします。左側から違反、イベント、またはフローフィールドをドラッグし、右側の [ServiceNow SIR インシデントマッピング] セクションにドロップして、マッピング構成を編集します。右側のマッピングで、受信違反フィールドを送信セキュリティインシデントフィールドに関連付けることができます
- サンプルデータをフェッチした後の次のステップで、違反、イベント、またはフローフィールドをセキュリティインシデントにマップします。フォームの左側からフォームの右側のセキュリティインシデントのフィールドにフィールド値をマッピングするには、フォームの左側で青色のフィールド名をクリックしたままにします。
- フィールド名 (descriptionなど) をドラッグして、[セキュリティインシデント] 列のフィールド名の横にある [入力式] 列のフィールドにドロップします。 フィールド値が [入力式] 列に表示されます。次の画像で、descriptionをセキュリティインシデントの [説明] フィールドにマップします。注:[入力式] セクションに手動でイベントまたはフローフィールド名を入力する場合は、マップされるフィールドの名前の前に ${Event:eventfield}$ または ${Flow:flowfield}$ というプリフィックスを追加する必要があります。
マッピングプロセスで違反、イベント、またはフローフィールドが見落とされたり、重複したりしないようにするために、フィールドは色分けされています。マップされていない残りのすべてのフィールドは青で表示されるのに対し、違反フィールドはグレー表示されるため、違反フィールドの色分けは、すでにマップされた違反値の追跡に役立ちます。色分けすることで、セキュリティインシデントに追加されたフィールド値、およびマップされていない残りの重要な違反情報を視覚的に把握できます。
左側のライトブルーのフィールドは、違反フィールドがまだ未選択で、セキュリティインシデントにマップされていないことを示します。受信違反、受信イベント、または受信フローフィールドをセキュリティインシデントの 2 つ以上のフィールドに関連付けることがあります。灰色のフィールドは、フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。この色分けは、マッピングを追跡するのに役立ちます。
- フォームの右側のセキュリティインシデントで表示されるデフォルトフィールドにフィールドを追加するには、次のステップを実行します。
- グリッドの下部にある [SIR インシデントフィールドマッピング] セクションのフォームの右側で、プラス (+) アイコンをクリックします。新しいフィールドが表示されます。
- [セキュリティインシデント] 列で表示されている選択リストを展開し、フィールドを選択します。 新しいフィールドの展開された選択リストでは、一部のフィールドが網掛けされています。次の図では、セキュリティインシデントにマッピングされているため、カテゴリのバックグランドがグレーになっています。フォームの左側の違反フィールドの色分け同様、右側にあるセキュリティインシデントフィールドのこの色分けも、すでにマップされた SIR インシデントフィールドを追跡するのに役立ちます。注:同じセキュリティインシデントに複数の観測事象を表示できるため、[観測事象] フィールドを異なる値で複数回マップできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、インシデントをプレビューするときに、フィールドに値がないことを示すエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できる選択リストがあり、選択リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
- または、新しい行の [検索] フィールドに値を入力します。
- フォームの左側で違反フィールドを選択し、右側の適切なセキュリティインシデントフィールドにドラッグアンドドロップします。
- [SIR インシデントフィールドマッピング] セクションのフィールド名の横にある - アイコンを使用してフィールドを削除します。
- フィールドの値をマッピングに追加するか、削除して、マッピングを続行します。
複数の値を持つ違反フィールド
- ベース製品で利用可能な [カテゴリ] や [ユーザー] フィールド (影響を受けるユーザー、担当者など) などのセキュリティインシデントフィールドは、複数の値をサポートしていません。
- 次の IBM QRadar フィールドは複数の値をサポートしています。
- categories
- destination_networks
- source_address_ids
- local_destination_address_ids
- remote_destination_ips
- rules_contributing_to_offense
- users
上記のフィールドを CI および観測事象タイプフィールド以外の セキュリティインシデントレスポンス フィールドにマッピングする必要がある場合は、リストタイプの新しい セキュリティインシデントレスポンス フィールドを作成して、上記のフィールドをマッピングに使用する必要があります。
注:デフォルトでは、非参照リストタイプフィールドのみがサポートされています。
フォーマットフィールド変換
特定の場合、IBM QRadar の違反フィールド値は SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。たとえば、スクリプトエディターで、マルウェアアラートとウィルス感染のカテゴリ値がソースカテゴリでは異なるフィールド値であっても、フォーマットフィールド変換機能を使用して、両方の値が SIR セキュリティインシデントで [カテゴリ] フィールドの一般的な悪意のあるコードアクティビティに変換される場合があります。
をクリックします。スクリプトエディターが表示されます。スクリプトへの変更を入力し、[更新] をクリックして変更を保存し、 [マッピング] ページに戻ります。
インシデント生成条件
- フォームの [インシデント生成条件] セクションまでスクロールし、[条件に基づいてフィルター] チェックボックスをオンにして、オプションを有効にします。
フィルター条件ビルダーが表示されます。これらのフィルターを使用して、フィールドで説明されている特定の条件に一致するセキュリティインシデントを作成します。
フィルター条件ビルダーの最初のフィールドの選択リストオプションは、取り込まれた違反の [サンプル QRadar 違反の取り込み] セクションに表示されるフィールドと一致します。これらのフィールドは動的で、取り込む違反に応じて変更されます。入力する条件は大文字と小文字が区別され、IBM QRadar 違反の値と正確に一致する必要があります。フィルターフィールドに入力する値が不明な場合、IBM QRadar コンソールに戻り、違反をレビューしてキーワードを確認することができます。
注:categories、destination_networks、source_address_ids、local_destination_address_ids、remote_destination_ips、[rules_contributing_to_offense、users の各違反フィールドには複数の値を設定できます (値はアレイに格納されます)。フィルター条件は文字列のみ取得できるため、これらのフィールドに包含フィルター条件を使用して、データが正確にフィルタリングされるようにする必要があります。 - 条件ビルダーの選択リストとフィールドを使用して、最初の行のフィルターを設定します。
- 条件を追加するには、フィールドの右側にある [AND] または [OR] をクリックします。
- [AND] を選択した場合は、すべての条件に一致する必要があります。
- [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
- (オプション) 2 番目の行で、2 番目のフィルター条件を設定します。
次の画像は、セキュリティインシデントが作成される前に一致する必要がある 2 つの条件を含む例です。
入力した両方のフィルタリング条件に一致した場合にのみセキュリティインシデントが作成されるように、インシデント生成条件を設定しました。
この種のインシデント生成条件フィルタリングにより、IBM QRadar で基本的なルールまたはフィルターを変更することなく、違反を絞り込み、作成する不要なセキュリティインシデントの数を制限することができます。追加のフィルター条件を設定する場合、すべての条件に一致する違反のみがインシデントにマップされます。
注:違反フィールドの名前に特殊文字 (引用符 (“)、ハイフン (‘)、アンダースコア (-)、アンパサンド (@) など) が含まれる場合、フィルタリングのために特殊文字を置き換える必要があることがありますが、数値サフィックスは重複する違反名で別のフィールドに追加されます。たとえば、最初の違反フィールドがalerts.alertで、2 番目の違反フィールドがalerts@alertsの場合、残りの標準的なテキスト文字は同じであるため、これらのフィールドは一意に識別されません。この場合、サフィックスが 2 番目の違反フィールドに追加され、[フィルター条件] リストに表示されるときにフィールド名が「alerts@alert(1)」に変更されます。
類似の違反を処理して重複インシデントを防止する違反集計基準
- フォームで [違反集計基準] セクションにスクロールして、[集計条件] チェックボックスをオンにして、このオプションを有効にします。
[値が一致するインシデントフィールド] 列が表示されます。これらのフィールド名は、SIR セキュリティインシデントで構成されたカスタムフィールドを含むセキュリティインシデントのフィールドです。
- [利用可能] リストから、ServiceNow AI Platform の既存のセキュリティインシデントで照合するフィールド値を選択し、[選択済み] リストに移動させます。
この受信アラートを既存のセキュリティインシデントに追加するには、選択するすべてのフィールド値が一致する必要があります。これには、複数の違反フィールド値がマッピングされている可能性がある [観測事象] や [構成アイテム] などのフィールドが含まれます。すべての値が一致している必要があります。値のサブセットのみが一致した場合、違反集計条件は満たされず、新しいセキュリティインシデントが作成されます。複数値フィールドのマッピングについては、以下のスクリーンショットを参照してください。
新しい違反が、マッピングステップの集計フィールド条件で選択されたすべての値と一致する場合、新しい違反が同じフィールド値を持つ最新のオープンセキュリティインシデントに自動的に追加されます。セキュリティインシデントを扱う sn_si.analyst ロールを持つユーザーは、セキュリティインシデントの関連リストで、追加されたすべての集計違反を表示できます。このリストには、関連するタイムスタンプと集計されたフィールド値の詳細が表示されます。この情報は、これらの違反が既存のセキュリティインシデントに集計される理由を理解するのに役立ちます。このタブが表示されない場合は、 [関連リンク] の下のレコードの左側にスクロールし、[すべての関連リストを表示] リンクをクリックします。
- セキュリティインシデントで最近追加された新しい違反の作業メモを記録するには、このチェックボックスをオンにしてこのオプションを有効にします。作業メモには、新しい違反が追加され、違反の詳細へのリンク、およびマッピングセクションの作業メモフィールドに追加されたその他の詳細が記録されます。
IBM QRadar 違反からセキュリティインシデントのフィールドに値が正常にマッピングされました。また、インシデント生成フィルタリング基準を使用してセキュリティインシデントの作成を制限する追加条件も構成しました。違反フィールド値が設定した集計基準に一致する場合は、追加された違反が既存のセキュリティインシデントに追加されました。
- [続行] をクリックして、プロファイル設定を続行します。次のステップでは、SIR セキュリティインシデントにマッピングしたフィールドをプレビューします。