AWS Security Hub検索結果フィールドのマッピング

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:8分

    • 個々の AWS Security Hub 検索結果フィールドを SIR セキュリティインシデントのフィールドにマッピングし、マッピングされたデータでインシデントを作成できるようにします。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. マッピングページの [マッピング AWS Security Hub ] セクションで、いずれかのサンプル取り込み方法を選択します。
      表 : 1. サンプルの取り込み方法
      フィールド 説明
      すべてのデフォルトの検索フィールド この取り込み方法を使用して、すべての検出結果フィールドの静的リストを表示します。この方法には、値のないデフォルトのフィールド名のみが含まれます。

      この情報を使用して SIR フィールドとマッピングできます。
      最近の AWS Security Hub 結果を取得 この取り込み方法を使用して、最新の検出結果データをインポートします。

      デフォルトでは、5 つのサンプル結果を取り込むことができ、最大 20 個のサンプル結果を取り込むことができます。

      サンプル検出結果フィールドの値は、プロファイルがサンプル検出結果を取り込むときに入力されます。これらの検索結果を SIR インシデントターゲットフィールドにマッピングできます。検出結果フィールドと値は個別のタブとして表示されます。
      サンプルデータをインポート (Import Sample Data) [ Import Sample Data ] を選択して、 AWS Security Hub からサンプル検出結果をインポートします。

      このボタンは、[最近の AWS Security Hub 検索結果を取得] 取り込み方法を選択すると表示されます。

      サーバーからサンプル結果を取得する AWS Security Hub 少し時間がかかります。

      これらの結果を SIR インシデントターゲットフィールドにマッピングします。検出結果フィールドと値は個別のタブとして表示されます。
    2. セキュリティインシデントに表示されるデフォルトのフィールドにフィールドを追加するには、次のアクションを実行します。
      [SIR インシデントターゲットフィールド] セクションで、[ 別のフィールドをマッピング] ボタンを選択します。 ボタン。SIRフィールドのリストが表示され、そこから新しいフィールドを表示できます。
      1. [セキュリティインシデント] 列で表示されているリストを展開し、フィールドを選択します。
        注:
        同じセキュリティインシデントに複数の観測事象を表示できます。たとえば、[観測事象] フィールドは異なる値で複数回マッピングできます。同様に、[構成アイテム] フィールドと [作業メモ] フィールドは複数の値をサポートします。複数の値をサポートできないフィールドに 2 つの値をマッピングしようとすると、このフィールドは複数の値をサポートしていないというエラーメッセージが表示されます。同様に、セキュリティインシデントのフィールドに複数のオプションを選択できるリストがあり、リストに表示されていないフィールドにオプションをマップしようとすると、そのフィールドはセキュリティインシデントに入力されません。
      2. [ソースフィールド AWS Security Hub ] セクションからフィールドをドラッグして新しいフィールドにマッピングします。
      3. フィールドに対応するチェックボックスをオンにすると、 AWS Security Hub に加えられた新規または更新された変更が、新しいインシデントデータでそれぞれの SIR で自動的に更新されます。
        注:
        ベースシステムでは、SIR にリンクされている新しいアラートに関連する AWS Security Hub 更新を受信するために、システムプロパティ sn_sec_security.finding_updates はデフォルトで True に設定されています。
        • デフォルトでは、[影響を受けるユーザー]、[構成アイテム]、および [観測可能] フィールドはオンになっています。つまり、新しい観測事象、関連する構成アイテム、または影響を受けるユーザーがインシデントに追加されるたびに、その情報が自動的に抽出され、そのポーリング間隔中にセキュリティインシデントレスポンス (SIR) のそれぞれの関連リストに入力されます。
        • その他のフィールドについては、 AWS Security Hubの結果に加えられた新規または更新された変更のフィールドに対応するチェックボックスをオンにする必要があります。これにより、それぞれの SIR インシデントデータが新しいインシデントデータで自動的に更新されます。
        重要:
        既存のデータを上書きすると、アナリストのデータが不安定になり、セキュリティインシデントのフィールド値によっても設定されている他の自動化も影響を受ける可能性があるため、この機能を選択する前にデューデリジェンスを行う必要があります。そのため、上書き機能を選択する前にデューデリジェンスを行うことが重要です。
    3. フィールドを削除するには、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] セクションの入力式フィールドの横にある 削除ボタン(アイテムを削除) ボタンを使用します。
    4. [ AWS Security Hub ソースフィールド] セクションのフィールド値を [SIR インシデントターゲットフィールド] セクションのフィールドにマップするには、次のいずれかのアクションを使用します。
      1. フィールド名 ([ID] など) をドラッグし、[SIR インシデントターゲットフィールド (SIR Incident Target Fields)] 列のフィールド名の横にドロップします。

        [ AWS Security Hub ソースフィールド] セクションの任意の値を [SIR インシデントターゲットフィールド] セクションのフィールドと照合できます。マッピングプロセスで結果フィールドを見落としたり重複したりしないように、フィールドは色分けされています。ライトブルーのフィールドは、検出結果フィールドがまだ選択されておらず、セキュリティインシデントにマッピングされていないことを示します。受信検出結果フィールドをセキュリティインシデントの 1 つ以上のフィールドに関連付けることができます。灰色のフィールドは、検出結果フィールドが選択され、セキュリティインシデントのフィールドにマッピングされていることを示します。これにより、セキュリティインシデントに追加されたフィールド値と、マップされていない残りの重要な結果情報を視覚化できます。ただし、[ AWS Security Hub ソースフィールド] セクションには、[SIR インシデントターゲットフィールド] セクションのフィールドと互換性のないフィールドがいくつかあります。このような値をマッピングすると、SIR の作成時には表示されません。

      2. テキストとフィールドの組み合わせを追加できます。
        たとえば、 名前の検索は ${name}$ です。ここでは、 検索名は 手動で入力でき、 ${name}$AWS Security Hub ソースフィールドセクションからマッピングされます。
      3. ソース検索フィールドを手動で入力して、ターゲットフィールドにマッピングできます。
        ソース検索フィールドを手動でマッピングするには、${field name}$ 形式を使用します。たとえば、結果フィールド [重大度] をマッピングする場合、形式は ${properties(severity)}$ です。
      この統合は、特定の観測事象サブタイプを分類します。AWS Security Hub結果フィールドを SIR 観測事象フィールドにマッピングすると、ServiceNow AI Platformによって観測事象が自動分類されます。受信 AWS Security Hub 観測事象を SIRの観測事象タイプに汎用的にマッピングする場合は、[観測事象] フィールドに [ AWS Security Hub ] フィールドをドラッグアンドドロップします。ただし、SIR で受信AWS Security Hub観測事象の観測事象タイプを把握している場合は、SIR [観測事象タイプ] フィールドに具体的にマッピングします。SIR の具体的な観測事象タイプの例には、[観測事象 (ドメイン名) (Observable(Domain name))]、[観測事象 (メールアドレス) (Observable(Email address))]、[観測事象 (IP アドレス (V4)) (Observable(IP address (V4)))]、および [観測事象 (ホスト名) (Observable(Host name))] が含まれます。

      AWS Security Hub でフィールド値を検索しても、SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。

    5. セキュリティインシデントのフィールド値と一致するように、AWS Security Hub検出結果からの新しいフィールドのフィールド変換をフォーマットするには、[SIR インシデントターゲットフィールド] ヘッダーの [ここをクリック] リンクをクリックします。
    6. フィールド変換をサポートするフィールドを変更するには、フィールド形式ボタン スクリプトフォーマットフィールド変換アイコンをクリックします。
      フィールドの翻訳をサポートしているフィールドは、[カテゴリ][構成アイテム]、および [優先度]です。たとえば、[カテゴリ] の横にある フィールド形式ボタン アイコンをクリックします。AWS Security Hub結果フィールド翻訳スクリプトエディターが開きます。
    7. スクリプトへの変更を入力し、[更新] をクリックして変更を保存し、 [マッピング] ページに戻ります。
      たとえば、カテゴリの場合はスクリプトエディターで次のように定義します。
      "<Incoming Security Hub finding Field Value>" : "<Category to assign to the Security Incident>".
      このマッピングにより、プロファイルが構成済みのカテゴリのみを使用するようになります。
    8. フィールド値を追加または削除して、マッピングを続行します。
      インシデント生成条件ビルダーで同じフィールド値を使用して、セキュリティインシデントを作成するために受信検出が満たす必要がある追加の条件を定義できます。
    9. [フィルタリングと集計] セクションに移動するには、[続行] をクリックします。

    次のタスク

    フィルター条件を定義して設定すると、セキュリティインシデントを作成する検索結果を指定できます。インシデント生成条件ビルダー ([フィルタリングと集計] セクション) で同じフィールド値 ([マッピング] セクションで定義) を使用して、セキュリティインシデントを作成するために受信検出が満たす必要がある追加の条件を定義できます。