SOC Primeプラットフォームによるコンテンツカスタマイズ機能：シームレスなデプロイメントのためのステップバイステップガイドライン

非標準および代替データスキーマにコンテンツ展開を調整する

SOC PrimeのDetection as Codeプラットフォームの中心には、世界最大のSOCコンテンツライブラリがあります。このルールはスコアに書かれており、プラットフォームに依存しないルール形式で、23,000人以上のセキュリティの専門家からなるグローバルコミュニティの専門知識を活用できます。その後、スコアのルールは25以上のSIEM、EDR、XDRのネイティブフォーマットに自動的に変換されます。

スコアのルールを変換する際、対象プラットフォームの現在の標準データスキーマに従います。例えば、Microsoft SentinelルールはAdvanced Security Information Model (ASIM)に基づいており、Elastic StackクエリはElastic Common Schema (ECS)に基づいています。このスキーマでは、ログソースから収集したデータの解析と正規化に使用されるフィールドのセットが定義されています。

ただし、すべての組織が標準データスキーマを使用しているわけではありません。これは様々な理由で発生する可能性があります。

• 組織は、Microsoft SentinelのAdvanced Security Information Model (ASIM) の代わりにOpen Source Security Events Metadata (OSSEM)など、代替データスキーマを好む場合があります。
• ベンダーはデータスキーマを随時更新し、組織がその更新に追いつくことが技術的に難しい場合もあります。
• 組織はしばしばデータスキーマをカスタマイズする内部での必要性を持っています。

非標準データスキーマを使用し、検出がその環境で正常に機能することを保証したい組織を支援するために、SOC Primeプラットフォームは2つの特別な機能を提供します。 代替の翻訳用設定 and カスタムフィールドマッピング.

代替の翻訳用設定

SIEM、EDR、またはXDRソリューションを使用する組織で代替データスキーマが人気を集めると、代替翻訳設定を追加することでサポートを開始します。これにより、標準のスキーマを持つユーザーはデフォルトの翻訳を使用し、代替スキーマを持つユーザーは 設定 ドロップダウンでスキーマタイプを選択し、環境に合わせた翻訳を瞬時に取得できます。

選択できます 設定 代替翻訳のために：

• 特定のスコアのルールに対する代替翻訳を取得するために、コンテンツアイテムページで

• On the ハント（Web検索） セクション内の環境統合セットアップで、デフォルトで使用されるクイックハントの代替翻訳を設定するために 環境 セクションで、特定のプラットフォームが適用される場合に、クイックハントでデフォルトで使用される代替翻訳を設定するために

• 継続的コンテンツ管理モジュールのジョブ設定で、特定のジョブに関連するすべてのスコアのルールに適用される代替翻訳を構成するために
  

カスタムフィールドマッピング

SOC Primeプラットフォームのスコアのルール翻訳は、対応するSIEM、EDR、またはXDRソリューションの標準データスキーマに基づいています。したがって、非標準のテーブル/インデックスまたはフィールドが対象環境で使用されている場合、翻訳されたルールはカスタマイズが必要になります。

ルールコード内のテーブル/インデックス、フィールド名、またはフィールド値を手動でカスタマイズするのは、エラーが発生しやすい面倒なタスクです。そのため、カスタムフィールドマッピングプロファイルを設定する機能を提供しており、関連するすべてのカスタムテーブル/インデックス、フィールド名、またはフィールド値を指定し、デフォルトのものにマップできます。プロファイルを一度作成し、ルールを展開するかクエリを環境に送信するたびに即座に適用できます。複数のプロファイルを作成し、チームメイトと共有することもできます。

このツールは、以下のようなさまざまなケースで役立ちます。

• 貴社のSIEM、EDR、またはXDRのインスタンスで使用されているフィールドのセットが、プラットフォームの標準データスキーマで定義されているものと異なる場合。
• 異なるツールで特定のログを収集する場合など、SIEM、EDR、またはXDRインスタンスで別のログデータの場所をクエリしたい場合。この場合、特定のアクティビティのために場所自体およびフィールドとその値をカスタマイズする必要があるかもしれません。

カスタムフィールドマッピングプロファイルを適用できます：

• 特定のスコアのルールの翻訳を変更するために、コンテンツアイテムページで

• On the ハント（Web検索） セクション内の環境統合セットアップで、デフォルトで使用されるクイックハントの代替翻訳を設定するために 環境 クイックハントでデフォルトで適用される変更を加えるために

• 継続的コンテンツ管理モジュールのジョブ設定で、特定のジョブに関連するすべてのスコアのルールに適用される変更を構成するために
  

注意: デフォルトでは、 ログソースに基づくデフォルトのカスタムフィールドマッピングの使用 チェックマークは選択されています。この場合、カスタムフィールドマッピングは、コンテンツが意図されているログソース製品に基づいて内容に動的に適用されます。 カスタムフィールドマッピング ドロップダウンを表示し、ジョブにリンクされたすべてのコンテンツで単一のプロファイルを選択するか、マッピングをまったく適用しないようにするには、チェックマークの選択を解除します。

カスタムフィールドマッピングプロファイルを設定する

環境内で監視されている各ログソース製品に対して、別々のカスタムフィールドマッピングプロファイルを作成し、カスタマイズを必要とするものに対して設定します。

 に移動します 統合する > カスタムフィールドマッピング をクリックして新しいプロファイルを作成します。 作成 button to create a new profile.

また、コンテンツアイテムページまたは環境統合セットアップからプロファイル作成または編集ポップアップを開くこともできます。

カスタムフィールドマッピングプロファイルを設定するには：

1. プロファイルに名前を付けます。
2. プロファイルを適用したいプラットフォームを選択します。
3. プロファイルをチームメイトと共有するかどうかを選択します。共有プロファイルは、組織内の誰でも表示および編集できます。
4. プロファイルが対象であり自動的に適用されるログソース製品を選択します（設定 デフォルトにする スイッチが有効になっている場合）。 ログソースを選択 フィールドをクリックして製品名の入力を開始し、提示されたオプションから選択します。
   
5. オプションで、 スコア設定の表示 スイッチを有効にして、選択したログソース製品に対応するスコア製品、サービス、およびカテゴリを表示することができます。これらは、スコアを熟知したユーザー向けの高度な設定です。クロスアイコンをクリックすると、事前定義された値を削除し、新しい値を追加できますが、疑わしい場合は事前定義された値を変更しないことをお勧めします。新しい値を提供するには、フィールドをクリックして値を入力し、入力した名前をクリックして追加します。各フィールドには複数の値を持たせることができます。
   注意: 現在、 スコア製品を選択, スコアカテゴリを選択、および スコアサービスを選択 フィールドは、一部のログソース製品にのみ事前定義された値を持っています。さらなる製品のサポートは近日中に提供予定です。
   
   
6. プロファイルをデフォルトにするかどうかを選択します。デフォルトプロファイルは、選択したプラットフォーム向けプラットフォームで指定したログソース製品（またはスコア製品、サービス、カテゴリ）に適したコンテンツに、コンテンツアイテムページで自動的に適用されます。
   
   注意：デフォルトプロファイルは、スコア製品、サービス、カテゴリが関連付けられたログソース製品のみに対して自動的に適用されます。
   

マッピングを構成します。フィールドのみをマップする必要がある場合は、 ソース or 値 タブを埋めないでください。

ソース

このタブの正確な名前は、選択したプラットフォームによって異なります。Microsoft Sentinel、Elastic Stack、およびSplunk用のログデータ場所のネイティブ名を使用しているためです。

• Microsoft Sentinel: テーブル
• Elastic StackとSplunk: インデックス
• 他のプラットフォーム: ソース
  

ログソースの場所を設定するには、以下の手順を実行します。

1. デフォルトソースフィールドをクリックし、指定された製品のログが保存される場所（インデックス、テーブルなど）のデフォルト名を入力します。これは標準データスキーマで使用される名前です。入力を完了したら、入力した名前をクリックして追加します。
   
   注意: 一部のプラットフォームでは、このフィールドの値は事前定義されており、変更できません。事前定義された名前にはワイルドカードとしてアスタリスク（*）が使用されます。
   
   
2. カスタムソースフィールドをクリックして、ログ場所のカスタム名を入力します。これは実際の環境で使用される名前です。入力を完了したら、入力した名前をクリックして追加します。

フィールド

フィールド名をカスタマイズするには、以下の手順を実行します。

1. デフォルトフィールドをクリックし、標準データスキーマで使用されるデフォルトフィールド名の入力を開始します。提案されたオプションを選択するか、適切なオプションがない場合は入力を完了し、入力した名前をクリックして追加します。
2. カスタムフィールドをクリックし、実際の環境で使用されるカスタムフィールド名を入力し、入力した名前をクリックして追加します。
   
3. 緑のチェックマークアイコンをクリックしてフィールドマッピングを保存します。
4. 上記の手順を使用して必要なすべてのフィールドマッピングを追加します。新しいフィールドを追加するには、 フィールドを追加 をクリックします。追加されたマッピングを編集する必要がある場合は、その近くの鉛筆アイコンをクリックします。マッピングを削除するには、その近くのゴミ箱アイコンをクリックします。
   

注意: フィールドマッピングをCSVを使用してインポートできます。ファイルはカンマ区切りで、2つの列を持っている必要があります。

• 変更したいデフォルトフィールド名のある最初の列
• カスタムフィールド名を持つ2番目の列

フィールド名には文字、アンダースコア（_）、ダッシュ（-）、またはドット（.）のみを含めることができます。許可される最大行数は500です。空の行は無視されます。

値

フィールド値をカスタマイズするには、以下の手順を実行します。

1. 値をマッピングする必要があるフィールド名を入力します。
2. 元の値と新しい値の名前を入力します。
3. クリック 値を追加 別のフィールドに値をマッピングする必要がある場合は

注意:

• 異なるフィールドの元の値に対して同じ新しい値を持つことができます。

• フィールドの同じ元の値に対して複数の新しい値をマッピングすると、最後のマッピングのみが考慮されます。

• 元の値を空にすると、入力された新しい値がフィールドの任意の元の値に使用されます。

• 新しい値の一部として元の値を動的に挿入するには、{VALUE}プレースホルダーを新しい値フィールドで使用します。

• 任意のフィールドの元の値をパターンに応じて変更するには、{VALUE}プレースホルダーを新しい値として追加し、元の値を空にします。たとえば、EventIDフィールド内の任意の値に「Microsoft-Windows-Security-」をプレフィックスとして追加するには、次のマッピングを行います。

• フィールド: EventID
• 元の値: 空のままにします
• 新しい値: Microsoft-Windows-Security-{VALUE}

作成したカスタムフィールドマッピングプロファイルを保存するには、 変更を保存.

をクリックします。これで設定が完了し、作成したカスタムフィールドマッピングプロファイルを即座に使用してコンテンツを貴社のSIEM、EDR、またはXDRソリューションに展開できます。

に参加 SOC PrimeのDetection as Codeプラットフォーム は、あらゆるサイバーセキュリティチーム向けに設計されたオールインワンソリューションを活用して脅威検出能力を向上させ、脅威の狩猟速度を加速させます。SOC Primeプラットフォームは、様々なスキルセットと技術的専門知識を持つ何千ものサイバーセキュリティの専門家をグローバルに結び付ける協力的なサイバー防御の力を活用しています。知識の集合的なプールを豊かにする方法を探している業界の専門家は スレットバウンティプログラムに応募し、自らの検出アルゴリズムをサイバーセキュリティコミュニティと共有し、貢献に対する評価に基づく金銭的報酬を得ることができます。