構造化ファイルを使用したデータのインポート

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • CSV、XLSX、XLS などのサポートされているファイル形式で構造化データをアップロードします。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
      [脅威インテリジェンスライブラリ (Threat Intel Library)] ページが表示されます。
    2. [インテリジェンスをインポート (Import Intelligence)]をクリックします。
    3. [構造化ファイルからインポート (Import from structured file)] カードをクリックします。
      重要:
      サポートされているファイル形式 (TXT、CSV、STIX 2.x JSON、MISP JSON、または構造化ファイル) で脅威インテリジェンスデータをインポートします。ファイルサイズの制限は 5 MB です。生のテキストの文字数制限は 10,000 文字です。
    4. フォームのフィールドに入力します。
      フィールド 説明
      オプションを選択 ドロップダウンリストから、[観測事象] や [インジケーター] などの必要なオプションを選択します。
      • 観測事象:インポートする観測事象データを選択します。
        注:
        観測事象データをインポートする場合は、このオプションを選択します。また、ファイル内の列ヘッダーを変更しないでください。必須フィールドは [値] と [タイプ] で、その他のフィールドはオプションです。また、日付/時刻を YYYY-MM-DDThh:mm:ssZ 形式で入力します。
      • インジケーター:インポートするインジケーターデータを選択します。
        注:
        インジケーターデータをインポートする場合は、このオプションを選択します。また、ファイル内の列ヘッダーを変更しないでください。[インジケーター] の必須フィールドは [パターン]、[パターンタイプ]、および [有効開始日] で、その他のフィールドはオプションです。また、日付/時刻を YYYY-MM-DDThh:mm:ssZ 形式で入力します。
      インジケーターのサンプルファイルをプレビューおよびダウンロードする (Preview and download sample file for Indicators) [プレビュー] リンクを使用してサンプルファイルをダウンロードし、CSV、XLS、XLSX などの互換性のあるファイル形式で構造化データをアップロードするには、このリンクを使用します。
      注:
      列ヘッダーはヘッダーと正確に一致する必要があります。ファイルの各観測事象に [値] フィールドと [タイプ] フィールドが必要です。その他のフィールドはオプションです。[初回確認日 (First Seen)] と [最終確認日 (Last Seen)] は数値で、エポック時間 (ミリ秒単位) である必要があります。
      ファイルをアップロード 推奨される構造化ファイル形式でファイルデータをアップロードするには、このリンクをクリックします。
      注:
      一度にアップロードできるのは 1 ファイルのみです。新しいファイルを追加するには、既存のファイルを削除してから新しいファイルを追加する必要があります。
      定義の設定 (Set definitions)
      TLP インポートされたレコードに適用する Traffic Light Protocol (TLP) インジケーターをドロップダウンリストから選択します。
      TLP は TISC にあり、目的のユーザーと機密データが共有されるようにするために、さまざまな色でラベル付けされています。
      • クリア:情報を制限なく共有できます。
      • 琥珀色 + 厳格 (AMBER+STRICT)
      • 琥珀色
      信頼性 (0~100) インポートされたレコードの信頼度値を 0〜100 の範囲で設定します。
      有効期限 (日数) (Expiry Period (days)) インポートされたレコードの有効期間を入力します。
      注:
      このフィールドは必須です。
      セキュリティコントロールリストに観測事象を追加 適切なセキュリティコントロールリストに観測事象を追加するには、このオプションを選択します。

      このオプションを使用すると、インポート中に観測事象をセキュリティコントロールリストに直接追加できます。

      ドロップダウンリストで使用可能なオプションは、次のとおりです。
      • 許可リスト
      • 拒否リスト
      • なし
      デフォルトのオプションは [なし] です。
      Tags (タグ)
      タグを追加 タグを使用して、このソースからシステムに取り込まれたレコードに注釈を付けたり、耳のマークを付けたりします。検索バーにタグ名を入力してシステムで使用可能なタグを選択するか、新しいタグ名を入力して [追加] をクリックし、ソースに割り当てます。
      分類
      分類を選択 (Select a Taxonomy) インポートされたデータの分類を選択します。分類を使用して、脅威インテリジェンスレコードにアサインされる分類として使用できる辞書を定義します。例:CAPEC 命名法。詳細については、「分類の作成」を参照してください。
      注:
      分類値のオプションは、選択した分類に基づいて変更されます。
      ソース値を上書き (Override source value) 構成された値で TLP、信頼性、有効期限、タグ、および分類のソース値を上書きする場合は、このチェックボックスをオンにします。このチェックボックスをオンにしない場合、空でなければ構成された値が適用されます。
    5. [次へ] をクリックします。
    6. データを処理のために送信する前に確認します。
      注:
      インポートされたレコードのレビューは、STIX オプションではサポートされていません。

      [次へ] をクリックすると、ユーザーが上記のセクションで提供したすべての情報の概要が表示され、下のセクションにはインポートする必要があるすべてのレコードが表示されます。

      ユーザーは任意のタイプのアクティビティを実行でき、複数のユーザーは右側のコンテキストメニューにあるコメントセクションを使用して共同作業を行うことができます。インポートされたレコードのリストは、ファイル全体または生のテキストが処理されるとレンダリングされます。大きなファイルのインポート処理には時間がかかりますが、処理中はインポートレコードページからもステータスの確認、レビュー、送信が可能です。

      注:
      検証に失敗したレコードはインポートプロセスからスキップされ、そのようなレコードはそれ以上の処理を行うために [レビューおよび送信] ページに表示されません。
    7. [更新タイプ] をクリックし、インポートされたレコードの任意のタイプを更新するタイプを選択します。
    8. インポートされたレコードのタイプを削除するには、[削除] をクリックします。
    9. [送信] をクリックします。
      注:
      インポートレコードを送信すると、構成された承認ルールに基づいて対応するインポートレコードを承認するため、ユーザーは承認者に誘導されます。レコードを作成している現在のユーザーが承認プロセスを必要としない場合、レコードは自動承認プロセスを経て、要求の送信時にインポートジョブが自動承認されます。
    10. [ステータスを表示] をクリックしてインポートレコードのステータスを表示するか、[完了] をクリックします。
      レコードが処理のためにインポートされると、処理済みステータスが表示されます。
    11. [キャンセル] をクリックして、インポートプロセスを中止します。
    12. 必要に応じて、[戻る] をクリックして前のページに戻り、レコードを確認します。