タイムラインのカスタムイベントタイプの設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • 調査キャンバスのタイムラインコンポーネントには、選択したエンティティに関連するすべてのイベントの概要が時系列順に表示されます。この機能により、アナリストはアクション、更新、変更を経時的に追跡し、エンティティのアクティビティの包括的な履歴の視点を提供できます。その結果、効果的な時間的脅威分析をサポートします。

    始める前に

    必要なロール:sn_sec_tisc.admin

    このタスクについて

    アドミニストレーターは、組織の調査ニーズに合わせてカスタムイベントタイプを設定することで、関連するイベントが強調表示され、脅威分析を一時的に改善できます。

    アナリストは、インテリジェンスレコードに関連付けられたイベントを追加、編集、または削除できます。タイムラインでは、各キャンバスのユーザー固有の日付範囲も保持されるため、一貫性のある詳細な分析エクスペリエンスが提供されます。詳細については、「キャンバスへのタイムラインイベントの追加」を参照してください。

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > アドミニストレーション > ノードマップコントロール > タイムラインカスタムイベントタイプ.
    2. [新規] を選択します。
    3. 必要に応じてフィールドを入力します。
      フィールド説明
      イベント名 タイムラインに記録された特定のアクティビティまたはイベントの発生を識別する一意の名前。

      これは各イベントのプライマリラベルとして機能し、作成されたノード、更新されたステータス、またはその他の追加の詳細をすばやく把握するのに役立ちます。
      説明 イベントのコンテキストを提供するイベントタイプの説明。
      ステータス タイムライン上のイベントの現在のステータスを示します。
      アイコン このタイプのイベントを視覚的に表すためにタイムラインに表示されるアイコン。
      タイムライン上のイベントを表すアイコンの色を指定します。
    4. カスタムタイムラインイベント構成を保存します。
      注:
      デフォルトでは、カスタムタイムラインイベントは、イベントを手動で有効にするまで無効になっています。
    5. タイムラインイベント構成セクションに移動して、オブジェクトまたは観測事象を追加または削除します。
      タイムラインの構成
    6. [ 追加 ] を選択して、オブジェクトまたは観測事象のエンティティと適用可能なテーブルを追加または編集します。これにより、タイムラインが適用されるテーブルを指定できるようになりました。
    7. エンティティを選択します。
      オブジェクトまたは観測事象のいずれかを追加することを選択できます。オブジェクトを選択すると、それに関連付けられている適用可能なすべてのテーブルが表示されます。必要に応じてエントリを追加または削除して、リストを変更できます。

      [タイムラインイベント構成] セクションの [含まれるテーブル] フィールドは、各イベントが適用される特定のレコードタイプを示します。たとえば、アドミンは、イベントがその脆弱性に適用されなくなった場合に、脆弱性などのエンティティをリストから削除できます。脆弱性タイプのエンティティが削除されると、その脆弱性に対してイベントがトリガーされなくなります。

      注:

      観測事象のデフォルトイベント:特定の観測事象に対して、特定のイベントが自動的に表示されます。たとえば、ファイル観測事象には [初回確認日] フィールドと [ 最終確認日 ] フィールドが含まれます。

      タイムラインに表示されるフィールドを決定するベースシステムでプロビジョニングされたシステムプロパティ sn_sec_tisc.timeline_node_fields

      デフォルトでは、[first_seen] フィールドと [last_seen] フィールドが含まれています。要件に基づいて、このプロパティを変更して、新しいフィールドを追加したり、既存のフィールドを削除したりすることができます。

      • ファイル観測事象がキャンバスに追加されると、これらのイベントがデフォルトで表示されます。
      • これらのデフォルトイベントは構成によって駆動されるのではなく、観測事象レコードに入力された値に基づいて自動的に表示されます。
      • [ 初回確認日][最終確認日] の値が含まれている場合、追加のセットアップなしに対応するイベントがキャンバスに表示されます。
    8. [ 保存] を選択して変更を確定します。
      これが完了したら、戻ってカスタムタイムラインイベントを有効にすることができます。このアクションにより、カスタムタイムラインイベントが指定されたテーブルに適用可能であることを確認します。
      注:

      構成後、各イベントを有効または無効にすることができます。

      • 有効なイベントは調査キャンバス内で選択でき、関連するノードに追加できます。
      • 無効なイベントは [ タイムラインイベントを追加 ] リストで非表示になり、タイムラインに追加できません。

    次のタスク

    イベントを設定したら、調査キャンバスに移動してタイムラインエントリを確認し、エントリを追加または編集できます。詳細については、「キャンバスへのタイムラインイベントの追加」を参照してください。タイムライン機能の使用の詳細については、「 調査キャンバスでのタイムラインの使用」を参照してください。