追加の関連テーブルのリスクスコア算出

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • リスクスコア算出には、ユーザー定義の基準に基づいてセキュリティインシデントのリスクスコアを計算するためのベースシステムの一部として、1 つのリスクスコアリングルールがプロビジョニングされます。ただし、リスクスコアを計算するために、追加の関連テーブルをカスタマイズして含めることができます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. 移動先 すべて > セキュリティインシデント > インシデント > すべてのインシデントを表示.
    2. 任意のセキュリティインシデントレコードを選択します。
    3. セキュリティインシデント番号の横にある [他のアクション] オプションを選択します。
    4. 検索項目 構成 > 関連リスト.
    5. [ビュー名] に移動し、[リスクスコア算出] を選択します。
      ビューを選択したら、スラッシュバケットから必要な関連リストフィールドを選択します。たとえば、関連するサイティングなどです。
    6. [保存] を選択します。
      リスクスコアを計算する新しい関連リストまたはテーブルが正常に追加されました。
      重要:
      新しく作成された関連リストを使用して、新しい基準を持つセキュリティインシデントのリスクスコアを計算するには、関連リストのベーステーブルでビジネスルールを定義する必要があります。
    7. 移動先 すべて > システム定義 > ビジネスルール.
      次の 2 つのビジネスルールを参照して、独自のビジネスルールを作成できます。
      • スコア算出キューへのセキュリティインシデント (SI) の追加
      • スコア算出キューに関係を追加 (これは m2m テーブルに適用されます)
      図 : 1. ビジネスルール
      ビジネスルール
    8. たとえば、関連する観測事象の基準を機能させるために、2 つのビジネスルールを定義しました。

      1 つ目は、「スコア算出キューに SI を追加」ビジネスルールです。

      たとえば、新しいセキュリティインシデントが作成され、観測事象 (Observables[sn_ti_observable]) テーブルに関連付けられます。脅威のルックアップの後、観測事象が悪意のある事象であることが判明しました。次に、この悪意のある観測事象に関連付けられているすべてのセキュリティインシデントをキューに追加して、セキュリティインシデントのリスクスコアを再計算する必要があります。

      図 : 2. スコア算出キューに SI を追加
      [スコア算出キューに SI を追加] ビジネスルール

      2 つ目は、「Add Relation To Score Calculator Queue」ビジネスルールです。

      たとえば、新しいセキュリティインシデントが作成または削除され、観測事象 (タスク観測事象 [sn_ti_m2m_task_observable]) テーブルに関連付けられます。セキュリティインシデントの関連付けが変更されました。その後、そのセキュリティインシデントをキューに追加して、セキュリティインシデントのリスクスコアを再計算する必要があります。

      図 : 3. スコア算出キューへの関係を追加
      スコア算出キュービジネスルールに関係を追加