カスタムフィールドのマッピング

このブログ投稿では、プレミアムサブスクリプションプラン向けにSOC Prime Threat Detection Marketplaceで利用可能なカスタムデータスキーママッピング機能について説明します。

カスタムデータスキーママッピングにより、ほとんどのログソースおよびプラットフォームに対してカスタムマッピング構成を作成し、自動的にルールに適用することができます。 Threat Detection Marketplace これにより、手動でSIEMに戻ってフィールド名を使用中のスキーマと一致するように変更する必要がなくなり、プラットフォームとより互換性を高めることができます。

明らかに、異なる環境間には多くの違いがあり、デフォルトのフィールド名をカスタムフィールド名に自動的に変更することで、データ品質の特性に合わせてすべてのルールを自動的に書き換え、パースの問題を回避できます。

この機能が必要な明白な理由は、使用しているフィールド名がおそらく他のすべての人が使用しているものと異なるためです。使用しているプラットフォームがElastic Common Schema (ECS)を使用したElasticであるか、Common Information Model (CIM)を使用したSplunkであるか、ArcSight Common Event Format (CEF)を使用しているか、またはQRadar Log Event Extended Format (LEEF)を使用しているかにかかわらず。

データスキーマプロファイル

構成にアクセスするには、選択したルールページで調整したいプラットフォームをクリックし、Sigmaフィールドマッピングを構成するために歯車アイコンをクリックするか、画面右上のユーザーメニューに移動してSigmaフィールドマッピングメニュー項目を選択します。

開かれた設定ウィンドウでは、フィールドマッピングを構成できるプラットフォームの数を確認できます。

さらに、異なるフィールド名を持つ複数のSIEMを使用している場合は、さまざまなマッピングプロファイルを作成して切り替えることができます。複数のSIEMインスタンスを管理するには、複数のマッピンググループを持つことがマネージドセキュリティサービスプロバイダー（MSSP）にとって重要です。

フィールドカスタマイズ

Threat Detection Marketplaceで見つけることができる検出ルールは、標準フィールド名の一般的でオープンなシグネチャ形式のSigmaルールです https://github.com/Neo23x0/sigma

デフォルトのSigmaトランスレーターでルールを翻訳する場合、宛先プラットフォームフィールドにはSIEMのデフォルトのフィールド名が使用されます。例えば、Sigma EventID フィールドは Elasticsearchのevent.code フィールド、またはSplunkの EventCode フィールドに対応します。

Sigmaフィールドマッピングセクションでは、フィールド名をカスタマイズして、今後のルール翻訳がSIEMインスタンスで追加の手動カスタマイズなしで実行できるようにします。Sigmaフィールドをドロップダウンリストから選択し、カスタマイズされたフィールド名をプロファイルに保存します。また、SIEMインスタンス用にさらにカスタマイズするフィールドを手動で追加できます。

SIEMインスタンスで使用されるすべての利用可能なフィールド名を指定し、フィールドマッピンググループに設定を保存することができます。また、複数のプラットフォーム用にマッピンググループを作成し、事前設定されたグループを選択するだけでカスタマイズされたフィールド名を使ったプラットフォーム用の翻訳をクリップボードにコピーできます。

パースの問題を修正するには時間と専門知識、そして変更管理プロセスの遵守が必要ですが、ルールを即時に適用することで、積極的な脅威検出の障害を排除できます。