送信インテリジェンス共有テンプレートの構成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:10分

    • 送信インテリジェンス共有テンプレートを使用すると、 脅威インテリジェンスセキュリティセンター (TISC) から外部と共有されるデータを定義および制御できます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    このタスクについて

    共有テンプレートの主な目的は、共有レコードの名前、説明、送信インテリジェンスプロファイル、グループなどの共有レコードの詳細を事前に入力することです。詳細については、「GUI からの送信インテリジェンスレコードの共有」を参照してください。

    これらのテンプレートは、含めるエンティティと属性、および共有するためのシステム設定を指定します。

    これらのテンプレートを構成することで、組織は、内部および外部のコラボレーション作業全体でセキュリティとコンプライアンスを維持することで、関連性のある承認済みのインテリジェンスデータのみが共有されていることを確認できます。

    手順

    1. 移動先 すべて > ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. ワークスペースの [ 管理 ] アイコンを選択します。
    3. 送信 インテリジェンス共有に移動します。
    4. 送信インテリジェンス共有テンプレートを選択します。
    5. [新規] を選択します。
    6. フォームのフィールドに入力します。
      表 : 1. 新しい送信インテリジェンス共有テンプレートを作成
      フィールド 説明
      テンプレート名 送信インテリジェンス共有テンプレートの名前。
      テンプレート説明 送信インテリジェンス共有テンプレートの説明。
      使用モード 共有テンプレートの使用方法を示します。

      アウトバウンドインテリジェンス共有モジュールのテンプレートは汎用性が高く、要件に基づいて複数の共有シナリオに適用できます。

      利用可能な共有オプションは、次のとおりです。
      1. オンデマンド共有:GUI からのデータの共有に使用されます。
      2. 自動共有:自動化フローを通じて、スケジュールされた共有またはトリガーベースの共有を有効にします。
      3. オンデマンド共有と自動共有の両方:テンプレートをオンデマンド共有または自動共有のいずれかで使用できるため、最大限の柔軟性が得られます。
      4. TAXII 収集への自動追加:信頼できる外部パートナーに配布するために、共有データを TAXII 収集に自動的に追加します。
      5. TAXII 収集へのオンデマンド追加:信頼できる外部パートナーに配布するために、オンデマンド TAXII 収集を手動で追加できます。
      編集を有効にする (自動モードにのみ適用) このチェックボックスをオンにすると、インテリジェンス共有中に機密性を保護するために共有データから機密情報を置き換えるプロセスである 編集が有効になります。
      注:
      このオプションは、 自動共有TAXII 収集への自動追加、および TAXII 収集へのオンデマンド追加に適用されオンデマンド共有には適用されません。
      オンデマンド共有のアクセス制御
      重要:

      これらのテンプレートは、特定のオブジェクトや観測事象のインテリジェンスを共有する場合など、管理された共有モデル内で使用されるため、どのユーザーまたはグループがそれらにアクセスできるかを制御できます。

      これを管理するために、「 送信インテリジェンス共有権限を持つすべてのユーザーまたはグループへのアクセスを許可する」 という専用セクションがあり、特定のテンプレートを表示する必要があるユーザーとグループを指定できます。

      個々のユーザーまたはグループを指定し、選択したユーザーまたはグループのみがテンプレートを使用できることを確認することで、アクセスを制限できます。
      送信インテリジェンス共有権限を持つすべてのユーザーまたはグループにアクセスを許可する 送信インテリジェンス共有権限を持つすべてのユーザーまたはグループにアクセス権を付与するには、このチェックボックスをオンにします。
      ユーザー (「sn_sec_tisc.int_exch_write」ロールが必要です) インテリジェンスを共有するためのテンプレートにアクセスするユーザーを選択します。

      アウトバウンドインテリジェンス共有を実行するには、 sn_sec_tisc.int_exch_write ロールが必要です。

      注:
      :これらのロールは、オンデマンド共有にのみ適用されます。
      グループ (「sn_sec_tisc.int_exch_write」ロールが必要です) インテリジェンスを共有するためのテンプレートにアクセスするためのグループを選択します。

      アウトバウンドインテリジェンス共有を実行するには、グループに sn_sec_tisc.int_exch_write ロールが必要です。

      注:
      これらのロールは、オンデマンド共有にのみ適用されます。
      事前入力
      名前 (共有レコード名) 共有レコードの名前。

      この値は、送信インテリジェンス共有レコード内に事前に入力されています。
      説明 (共有レコードの説明) 共有レコードの説明。

      この値は、送信インテリジェンス共有レコード内に事前に入力されています。
      送信インテリジェンス共有プロファイル 送信インテリジェンス共有プロファイルを示します。この値は、送信インテリジェンス共有レコード内に事前に入力されています。

      詳細については、「送信インテリジェンス共有プロファイルの構成」を参照してください。
      送信インテリジェンス共有グループ 送信インテリジェンス共有グループを示します。この値は、送信インテリジェンス共有レコード内に事前に入力されています。

      詳細については、「送信インテリジェンス共有グループの構成」を参照してください。
      TAXII コレクション TAXII 収集を示します。このオプションは、[使用モード] で [TAXII 収集への自動追加 ] または [TAXII 収集へのオンデマンド追加] を選択した場合にのみ表示されます。
      デフォルトの信頼性 (0 - 100) デフォルトの信頼性の値を示します。これは、共有レコード内のインテリジェンスレコードで信頼度の値が指定されていない場合にのみ適用されます。

      この値は、送信インテリジェンス共有レコード内に事前に入力されています。
      TLP を上書き 共有コントロール内のすべてのレコードに特定の TLP を適用することで TLP (Traffic Light Protocol) を上書きするには、このチェックボックスをオンにします。

      この TLP はペイロード生成時に使用され、個々のレコードレベルでアサインされた TLP を上書きします。

      この値は、送信インテリジェンス共有レコード内に事前に入力されています。
      TLP 共有テンプレートの Traffic Light Protocol (TLP) を示します。このオプションは、[ TLP を上書き ] チェックボックスをオンにした場合にのみ表示されます。
      共有のためのシステム設定
      送信インテリジェンス共有コントロール 送信インテリジェンス共有コントロールを示します。デフォルトでは、このフィールドの値は [ 送信インテリジェンス共有コントロール (Outbound Intel Sharing Controls )] です。これはベースシステム内でプロビジョニングされる唯一の共有コントロールです。
      送信インテリジェンス除外ルール 送信インテリジェンス除外ルールを示します。デフォルトでは、このフィールドの値は [ 送信データ除外ルール ] です。これはベースシステム内でプロビジョニングされる唯一の除外ルールであるためです。
    7. [ 保存] を選択して、共有テンプレートを保存します。
      すべての送信インテリジェンス共有コントロールがこのテンプレートに自動的にコピーされ、数秒以内に [テンプレート共有コントロール ] セクションに表示されることを示す確認メッセージが表示されます。
    テンプレート共有コントロール:
    1. [ テンプレート共有コントロール ] セクションに移動します。
      テンプレート共有コントロールには、選択したテンプレートに定義されているすべての共有コントロールと、これらの共有コントロールが表示されます。これらは、送信インテリジェンス共有コントロールと呼ばれるメインの共有コントロールに依存します。詳細については、「送信インテリジェンス共有コントロールの設定」を参照してください。
    2. [テンプレート共有コントロール] セクション内で [追加] を選択します。
      [エンティティと属性を追加] ダイアログボックスが表示されます。
      メインの共有コントロールで定義されているエンティティのみが表示されます。デフォルトでは、すべてのエンティティがベースシステム内に含まれ、プロビジョニングされているため、最初はすべての共有コントロールが表示されます。ただし、メインの共有コントロールからエンティティを削除すると、そのエンティティはテンプレートの共有コントロール内で選択できなくなります。
      重要:
      これらのテンプレートは STIX 内でも使用されるため、STIX に検証ルールが導入されます。これらのルールに違反すると、ペイロードの生成に失敗する可能性があります。定義された STIX コンプライアンスルールが満たされない場合、構成されたエンドポイントにペイロードが送信されず、共有プロセスが完全に停止される可能性があります。

      STIX 検証警告を示すエラーメッセージが表示されます。このエンティティに必要な属性を少なくとも 1 つ含める必要があります。

    3. 共有テンプレートにオプションの属性を含めるには、[ すべてのオプション属性を追加 ] を選択します。
    4. さらに、[すべての属性を削除] (ダイアログボックスの下部にあるゴミ箱アイコン) をクリックしてオプションの属性を削除するか、[エンティティと属性を編集] ダイアログボックス内の [エンティティを削除] ボタンを選択してテンプレートからエンティティを完全に削除します。
    5. 共有コントロールに必要な変更を加えたら、[ 公開] をクリックしてテンプレート共有コントロールを公開します。
      テンプレート共有コントロールが公開されると、インテリジェンス送信共有テンプレート内で使用できるようになります。
      重要:
      これらのテンプレートは、GUI セットアップからデータを共有するときにも適用でき、脅威インテリジェンスライブラリからアクセスできます。詳細については、「GUI からの送信インテリジェンスレコードの共有」を参照してください。
    6. オプション: [ 編集] ボタンを選択して、テンプレートに必要な変更を加えます。
      注:
      テンプレートを変更する場合は、共有テンプレートに依存する処理待ちの送信インテリジェンス共有レコードが存在することを示す警告メッセージが表示されます。このテンプレートを編集する前に、処理待ちの送信インテリジェンス共有レコードがないことを確認してください。

      共有テンプレートの編集中に、依存する自動化フローを無効にせずにこのテンプレートを編集するとエラーが発生する可能性があるため、続行するかどうかを示す確認メッセージが表示されます。続行する場合は、[ 編集] ボタンを選択して変更を加えます。

    7. さらに、テンプレートの複製を作成する場合は [複製] ボタンを選択し、現在のテンプレートのクローンを作成します。
      このアクションでは、関連付けられているすべての共有コントロールを含む構成全体が複製されます。
    共有テンプレートを有効にするための検証:
    アプリケーションは、送信インテリジェンス共有テンプレートを有効にする前にさまざまな検証をチェックし、必要なすべての構成が完了すると有効になります。
    1. 共有コントロールの欠落:共有コントロールがテンプレートに追加されておらず、ユーザーが公開しようとすると、アプリケーションはテンプレートの保存と公開を許可しますが、有効にはなりません。

      テンプレートがアクティブに使用されないようにするための検証メッセージが表示されます。

    2. メインレベルでのドラフト共有コントロール:メインの送信インテリジェンス共有コントロールが まだ編集 (ドラフト) モードの場合は、テンプレートを有効にできません。この場合、共有コントロールがドラフトステータスであり、続行する前に公開する必要があることを示す警告メッセージが表示されます。

      これらの検証は、すべての関連コンポーネントが 公開 済みで有効なステータスにある場合にのみ、テンプレートが共有のためにアクティブ化されることを確認するために実施されます。これにより、不完全または無効な構成が運用共有プロセスで使用されるのを防ぐことができます。

    注:
    • [ 公開 ] を選択し、前述の基準のいずれかが満たされていない場合でも、テンプレートは公開されますが、有効にはなりません。
    • [ 有効化] を選択し、上記の基準のいずれかが満たされていない場合、テンプレートは有効になりません。
    • [有効] ボタンと [無効] ボタンは、公開済みのテンプレートに対してのみ表示されます。
    1. オプション: 共有テンプレートを無効にする場合は、[送信インテル共有テンプレート] ページから直接 [無効にする] を選択します。
      注:
      [ 送信インテリジェンス共有テンプレート ] ページのリストビューでは、1 つ以上のテンプレートを選択して、 複製有効化、 無効 化などのさまざまなアクションを実行することもできます。