Konfigurieren Sie Die Anwenderdefinierte Feldzuordnung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Mit der Feldzuordnung können Sie konfigurieren, wie jedes Feld in einem Daten-Feed wie Text, CSV oder JSON interpretiert und dem entsprechenden erkennbaren Element zugewiesen wird.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_tisc.admin

    Prozedur

    1. Navigieren zu Alle > Arbeitsbereiche > Threat Intelligence-Sicherheitszentrum > Integrationenan.
    2. Auswahlvorgang Bedrohungsinformationsfeeds > Alle Feeds > Textan.
    3. Wählen Sie Aus Konfigurieren Sie eine neue Quelle .
    4. Füllen Sie die Details des Text-Feed-Formulars nach Bedarf aus.
      Weitere Informationen finden Sie unter Konfigurieren Sie einen neuen Threat Intelligence-Feed.
    5. Führen Sie in der neuen Formularansicht einen Drilldown zu Datenanalysemechanismus Feld unter Konfiguration Abschnitt.
      Weitere Informationen zum Datenanalysemechanismus finden Sie unter Konfigurieren Sie einen neuen Threat Intelligence-Feed.
    6. Wählen Sie Aus Anwenderdefinierte Feldzuordnung Option.
    7. Navigieren Sie zu Feldzuordnung Abschnitt.
    8. Wählen Sie Aus Konfigurieren Zum Hinzufügen der Feldzuordnung für die neue Datenquelle.
      Dieser Abschnitt umfasst drei Schritte, z. B. das Hinzufügen von Beispieldaten, die Feldzuordnung und die Vorschau der zugeordneten Beispieldatensätze.
    9. Um die Beispieldaten hinzuzufügen, wählen Sie aus Beispieldaten Laden .
      Dadurch werden die Beispieldaten aus der ausgewählten Option angezeigt. Die Anwendung zeigt nur die relevanten Datenzeilen und -Zeilen an, die mit beginnen # Sind aus den Beispieldaten ausgeschlossen. Die Kommentarbezeichner können mit der Systemeigenschaft geändert werden: sn_sec_tisc.Feed_comment_Identifiers .

      Die Anwendung ruft ein Beispiel der eingehenden Daten entweder aus einer Beispieldatei (z. B. .txt, .csv oder .JSON) oder direkt aus der konfigurierten Feed-URL (die Feed-URL und die Anmeldeinformationen, die in eingegeben wurden) ab Details Abschnitt). Auf diese Weise können Sie eine Vorschau der Struktur und des Inhalts der Daten anzeigen, bevor Sie Feldzuordnungen definieren.

    10. Wählen Sie entweder aus Laden Sie eine Beispieldatei hoch Oder Feed-Daten aus Feed-URL .
      Diese Beispieldaten rufen standardmäßig die ersten zehn Datensätze ab. Diese Gesamtzahl der abzurufenden Datensätze kann mit der Systemeigenschaft geändert werden sn_sec_tisc.Feed_field_Mapping_sample_count .

      TISC: Feldzuordnung – Hinzufügen von Beispieldaten.

    11. Wählen Sie Aus Als Nächstes Zum Konfigurieren der Feldzuordnung.
    12. Wählen Sie Aus Legen Sie ein Trennzeichen für die Analyse von Daten fest Option aus der Dropdown-Liste.
      Bei der Arbeit mit Textfeeds ist das Trennzeichen für die korrekte Analyse der Daten in einzelnen Feldern wichtig.
      In diesem Szenario verwendet der Text-Feed den Pipe-Operator (|) als Trennzeichen, das jeden Wert in den Beispieltextdaten in unterschiedliche Spalten trennt. Die korrekte Identifizierung und Anwendung dieses Trennzeichens ist wichtig, um eine genaue Feldzuordnung und eine erfolgreiche Datenerfassung sicherzustellen.
      Hinweis:
      Für CSV-Feeds ist das Komma (,) das Standardtrennzeichen, und für JSON-Feeds ist kein Trennzeichen erforderlich.
    13. Wählen Sie Aus Trennzeichen aktualisieren .
      Die Optionen zum Hinzufügen von Feldern für die Feldzuordnung werden angezeigt.
    14. Fahren Sie mit dem Hinzufügen der Feldzuordnung fort, indem Sie die entsprechenden Werte aus der Dropdown-Liste auswählen.
      Datentrennzeichen für TISC-Feldzuordnung
    15. Verwenden Sie Transformationsskript Um die Eingabewerte zu transformieren und zu normalisieren, bevor sie erkennbaren Elementen zugeordnet werden.
      1. Wählen Sie Aus Transformationsskript aktivieren/deaktivieren Symbol zum Konfigurieren des Skripts.
        Das Dialogfeld Skript für Quellfeld konfigurieren wird angezeigt.
      2. Wählen Sie Aus Aktivieren Sie Das Transformationsskript Kontrollkästchen auf der Konfigurieren Sie das Skript für das Quellfeld Dialogfeld.
      3. Fügen Sie das Skript hinzu, oder ändern Sie es.

        Wenn Ihr Eingabefeld beispielsweise Werte wie Niedrig, Mittel oder hoch enthält und Sie diese Werte numerischen Konfidenzniveaus (zwischen 0 und 100) zuordnen möchten, können Sie den Eingabewert mithilfe des Transformationsskripts konvertieren und dem zuordnen Vertrauen Feld des erkennbaren Elements.

        Transformationsskript für TISC-Feldzuordnung
      4. Wählen Sie Aus Speichern Zum Speichern des Skripts, um den aktualisierten Zielwert abzurufen.
      5. Schließen Konfigurieren Sie das Skript für das Quellfeld Dialogfeld, und fahren Sie mit dem nächsten Schritt fort.
    16. Wählen Sie Aus Als Nächstes Um mit der Vorschau der Feldzuordnungen in der fortzufahren Vorschau Abschnitt.
      TISC: Vorschaubeispieldaten für Feldzuordnung.
    17. Zeigen Sie eine Vorschau der Beispielfeldzuordnung an, und wählen Sie aus Speichern .
      Eine Bestätigungsnachricht wird angezeigt, die angibt, dass die Feldzuordnung erfolgreich gespeichert wurde.
      Im Rahmen der Beispielfeldzuordnung identifiziert die Anwendung automatisch den Typ des erkennbaren Elements (z. B. IP-Adresse v4 usw.), den der Anwender aus den Beispieldaten zugeordnet hat. Dieser Mechanismus optimiert den Zuordnungsprozess und stellt sicher, dass die entsprechenden erkennbaren Typen basierend auf der Eingabe zugewiesen werden.
      Wichtig:
      Feldzuordnungs-Integrationsausführung: Jede Integrationsausführung, die für diesen Feed-Typ ausgeführt wird, verwendet die gespeicherte Feldzuordnungskonfiguration. Dadurch wird sichergestellt, dass eingehende Daten konsistent analysiert und den richtigen Attributen erkennbarer Elemente basierend auf der während der Konfiguration definierten Struktur zugeordnet werden.
      Hinweis:
      Wählen Sie Aus Bearbeiten Sie Die Feldzuordnung Dient zum Bearbeiten und Vornehmen der erforderlichen Änderungen an der Feldzuordnung, falls erforderlich. Eine Warnmeldung wird angezeigt, um zu bestätigen, ob Sie mit der Bearbeitung fortfahren möchten. Bestätigen Sie die Eingabeaufforderung, und wählen Sie aus Ja Um fortzufahren. Nehmen Sie die erforderlichen Änderungen an den Feldzuordnungen anhand der aktualisierten Beispieldaten vor, und speichern Sie die Änderungen.

      Alle an der Feldzuordnung vorgenommenen Änderungen werden auf die zukünftigen Integrationsausführungen für diesen Feed angewendet.

      Überprüfen Sie die Beispieldaten nach Änderungen immer, um eine korrekte Analyse sicherzustellen, bevor Sie die Integration ausführen.