インジケーターの定義

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:7分

    • インジケーターを定義します。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 脅威インテリジェンスライブラリ > インジケーター.
    2. [インジケーター] を選択します。
    3. [新規] をクリックします。
      注:
      観測事象、インジケーター、エンティティ、オブジェクトのオブジェクトレコードを新たに作成するたびに、ソースレコードが作成され、新しいオブジェクトレコードが作成されたことを示すプロンプトメッセージが表示されます。その後、ユーザーは集計レコードにリダイレクトされます。
    4. フォームのフィールドに入力します。
      表 : 1. 詳細セクション
      フィールド 説明
      ID インジケーターの一意の ID。
      説明 インジケーターの説明。
      名前 インジケーターの名前。
      パターン このインジケーターの検出パターンは、STIX パターンとして表すことができます。
      パターンタイプ このインジケーターで使用されるパターン言語。
      パターンバージョン

      パターンプロパティに含まれるパターンデータのタイプと一致する必要がある、パターンプロパティ内のデータに使用されるパターン言語のバージョン。
      有効期間開始日 このインジケーターが、関連する動作または表される動作の有効なインジケーターと見なされる時間。
      有効期限 このインジケーターが、関連するまたは表す動作の有効なインジケーターと見なされなくなるまでの時間。
      IOC 分類 インジケーターの IOC 分類。
      インジケータータイプ インジケーターのさまざまなカテゴリを示します。
      ステータス インジケーターのステータスを示します。
      プラットフォーム このインジケーターが適用されるプラットフォームを定義します。
      TLP TLP に基づくデータの機密性の設定を示す一意の値。
      攻撃フェーズ LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを表します。
      信頼性 このインジケーターレコードの信頼度を入力します。

      信頼度プロパティは、作成者がデータの正確性に対して持っている信頼性を識別します。信頼度値は 0~100 の範囲にする必要があります。
      脅威レベル インジケーターレコードの脅威レベルを示します。
      有効期限 インジケーターレコードの有効期限を指定します。
      脅威の重大度 インジケーターレコードの脅威の重大度を示します。
      使用率カテゴリ ボットネットやフィッシングなど、観測事象が該当するカテゴリ。
      初回確認日 このインジケーターレコードが悪意のあるアクティビティを実行していることが最初に確認された時間。
      最終確認日 このインジケーターレコードが悪意のあるアクティビティを実行していることが最後に確認された時間。
      ソース このレコードの作成元である脅威のソースを指定します。
      取り消し 取り消されたオブジェクトが、オブジェクト作成者によって有効と見なされなくなったことを示します。
      表 : 2. インサイト
      フィールド 説明
      メモ インジケーターに関するメモを追加します。
      表 : 3. 追加情報
      フィールド 説明
      追加コンテキスト このインジケーターのコンテキストを追加します。
      仕様バージョン このインジケーターを表すために使用される STIX 仕様のバージョン。

      この仕様に従って定義された STIX オブジェクトの場合、このプロパティの値は 2.1 である必要があります。
      言語 このプロパティは、このオブジェクトのテキストコンテンツの言語を識別します。
      作成日時 システムでインジケーターが作成される時刻を指定します。
      更新日時 システムでインジケーターが更新される時刻を指定します。
      拡張 インジケーターの拡張を示します。
      処理ステータス このインジケーターの処理ステータスを表します。
    5. [保存] をクリックします。
      保存すると、「新しい観測事象レコードが作成されました。レコードを編集して新たな関連を作成するには [続行] をクリックしてください」というプロンプトメッセージが表示されます。
    6. [続行] をクリックします。
      重要:
      新しい観測事象レコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。

      観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。

      表 : 4. タグと分類
      フィールド 説明
      Tags
      タグを選択 インジケーターに関連付けられているタグを選択します。
      タグを追加 新しいタグを追加します。
      分類
      分類を選択 インジケーターに関連付けられている分類を選択します。
      分類値を追加 インジケーターに関連付けられている分類値を追加します。
      表 : 5. ソースレコード
      フィールド 説明
      インジケーターのソースレコードの詳細が表示されます (存在する場合)。

    次のタスク

    次の関連リストのいずれかをクリックすると、インジケーターに関連するオブジェクトの追加情報が表示できます。
    表 : 6. 関連レコード
    関連リスト 説明
    MITRE テクニック このインジケーターに関連する MITRE テクニックを一覧表示します。
    攻撃パターン 攻撃者がこのインジケーターに関連するターゲットを侵害しようとする方法を記述する攻撃パターンソースを一覧表示します。
    キャンペーン このインジケーターに関連する特定の標的に対して時間の経過とともに発生する一連の悪意のあるアクティビティまたは攻撃を記述するキャンペーンソースを一覧表示します。
    対処措置 このインジケーターに関連する対処措置を一覧表示します。
    データソース このインジケーターに関連するデータソースを一覧表示します。
    データコンポーネント このインジケーターに関連するデータコンポーネントを一覧表示します。
    ID このインジケーターに関連する ID を一覧表示します。
    インジケーター このインジケーターに関連するインジケーターを一覧表示します。
    注:
    このセクションには、2 つのインジケーター間の潜在的な関係も含まれています。詳細については、「インジケーターとインジケーターの潜在リレーションシップを確認する」および「インジケーターとインジケーターの関係を定義する」を参照して、2 つの観測事象間の確認済みの関係を確認してください。
    インフラストラクチャ このインジケーターに関連する攻撃の何らかの目的をサポートするためのシステム、ソフトウェアサービス、および関連する物理または仮想リソースを記述するインフラストラクチャソースを一覧表示します。
    侵入セット このインジケーターに関連する共通のプロパティを持つ一連の攻撃者の行動とリソースを一覧表示します。
    所在地 オブジェクトに関連付けられた地理的な場所を一覧表示します。
    マルウェア このインジケーターに関連するマルウェアソースレコードを一覧表示します。
    マーキング定義 このオブジェクトに関連付けられたマーキング定義を一覧表示します。
    マルウェア分析 このインジケーターに関連付けられたマルウェアインスタンスで実行された特定の静的または動的分析のメタデータと結果を一覧表示します。
    観察事項 このインジケーターに関連する関連する観測事象レコードを一覧表示します。
    観察データ ファイル、システム、ネットワークなどのサイバーセキュリティ関連エンティティであり、このインジケーターに関連付けられている観測データを一覧表示します。
    サイティング このオブジェクトに関連付けられたサイティングソースレコードを一覧表示します。
    攻撃者 観測事象に関連する変更を一覧表示します。
    脅威イベント インジケーターに関連する、望ましくない結果や影響を引き起こす可能性のあるイベントや状況を一覧表示します。
    脅威グループ化 脅威グループ化を、共有コンテキストを持つオブジェクトとして一覧表示します。
    脅威メモ インジケーターに関連する詳細なコンテキストまたは分析を提供する脅威メモを一覧表示します。
    脅威に関する意見 インジケーターに関連付けられている情報の正確性のアセスメントとして、脅威に関する意見を一覧表示します。
    脅威レポート このインジケーターに関連付けられている脅威レポートを一覧表示します。
    ツール このオブジェクトに関連付けられているツールを一覧表示します。
    脆弱性 観測事象が IP アドレスの場合、このリストには、一致する IP アドレスを持つすべてのリソース (構成アイテム) が表示されます。
    関連ケース このインジケーターに関連付けられている関連ケースを一覧表示します。
    関連ケースタスク このインジケーターに関連付けられている関連ケースタスクを一覧表示します。
    関連するキャンバス このインジケーターに関連付けられている関連キャンバスを一覧表示します。
    インジケーターの参照 このインジケーターを説明する外部参照のリスト。
    注:
    1. このオブジェクトに関連付けられた関連レコードをリンクおよびリンク解除できます。詳細については、「脅威インテリジェンス関連レコードへのリンク」を参照してください。
    2. また、[関連レコード] セクションで、[インジケーター] フォームビューにある [潜在リレーションシップ] セクションを使用して、2 つの観測事象間の関係を確認できます。詳細については、「関連レコードから潜在リレーションシップを確認する」を参照してください。
    3. ケースにインジケーターを追加できます。詳細については、「ケースに追加する」を参照してください。