Carbon Black - インシデント拡張統合を開始する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • Carbon Black インシデント拡張は、悪意のある可能性があるインジケーターをログでクエリすることで、セキュリティインシデントの調査を容易にします。Carbon Black - インシデント拡張統合を使用する前に、ServiceNow Store から統合をダウンロードし、適切なエンドポイントベース URL と MID サーバーを追加する必要があります。

    始める前に

    必要なロール:sn_si_admin

    手順

    1. から統合をダウンロードします ServiceNow Store.
    2. ダウンロードが完了したら、Carbon Black Web サイトにアクセスし、プロファイルの下のエンドポイントベース URL と API トークンを取得します。
    3. インスタンスで、 セキュリティオペレーション > 統合 > 統合設定.
    4. Carbon Black - インシデント拡張カードで、[構成] をクリックします。
      Carbon Black インシデント拡張
    5. 必要に応じて、フィールドに入力します。
      フィールド 説明
      名前 この構成の名前。
      エンドポイントベース Carbon Black サイトから取得したエンドポイント URL。
      リンク URL Carbon Black インスタンスにリンクするリンク URL (利用可能な場合)。
      API トークン Carbon Black サイトから取得した API トークン。
      最大行数 検索する行の最大行数。デフォルトは 1,000 行です。
      最も早い結果 (日数) 表示する最も早い結果 (日数単位)。
      バイナリとプロセスの検索を実行 これを選択すると、バイナリ検索を実行してファイルハッシュなどのバイナリファイルを検索し、実行済みの .exe プロセスの検索を処理します。
      検索結果に生データサンプルを含める サイティング検索結果に生データのサンプルを含めるには、これを選択します。返されるデータの量は、[セキュリティインシデントレスポンス] プロパティの [生データの行数] プロパティの設定によって異なります。
      MID サーバー [任意] を選択して、 任意のアクティブな MID サーバーを使用するか、特定の MID サーバー名を選択します。
      注:
      この統合を設定すると、ワークフローが有効になります。ワークフローを管理するには、[ワークフローエディター] に移動します。
    6. [Submit] をクリックします。
      統合構成カードが表示されます。
    7. 統合構成カードの元のリストに戻るには、[構成を表示] ドロップダウンから [いいえ] を選択します。