観測事象のルックアップを実行する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • 脅威インテリジェンスのルックアップを 1 つ以上の観測事象で実行し、既知のセキュリティ上の脅威に関連するかどうかを判断します。実行されるスキャンの実装は、アクティブ化した実装によって異なります。

    始める前に

    ルックアップを実行する前に、脅威インテリジェンスプラグインをアクティブ化する必要があります。1 つ以上のスキャン実装用のプラグインもインストールする必要があります。

    必要なロール:sn_ti.write

    手順

    1. 移動先 すべて > 脅威インテリジェンス > IoC リポジトリ > 観察事項.
    2. 次のいずれかの手順を実行します。
      • 複数の観測事象に対してルックアップを実行するには、観測事象を選択し、[選択した行のアクション] をクリックして、[脅威のルックアップを実行] を選択します。
      • 単一の観測事象でルックアップを実行するには、観測事象レコードを開き、[脅威のルックアップを実行] 関連リンクをクリックします。
      [脅威のルックアップを実行] スラッシュバケット
    3. 使用する脅威のルックアップの実装を選択するか、[すべて] を選択してアクティブなすべての実装を使用してルックアップを実行し、[送信] をクリックします。
      脅威のルックアップが開始されたことを示すメッセージが表示されます。Security Operations Integration - 脅威のルックアップフロー が実行され、選択した脅威のルックアップ実装の実装ワークフローも実行されます。ルックアップが実行され、結果が生成されます。
    4. ルックアップが完了したら、[脅威のルックアップの結果] タブをクリックして結果を表示します。
      脅威情報ルックアップの結果
      [最近の脅威のルックアップ結果 (Recent Threat Lookup Result)][最近の脅威のルックアップ結果 (Recent Threat Lookup Result)] タブをクリックすると、各統合ベンダーからの最新または最近の脅威のルックアップ結果を表示することもできます。
      注:
      [最近の脅威のルックアップ結果 (Recent Threat Lookup Result)] タブはベースシステムには含まれていません。
      このタブを有効にするには、次の手順を実行します。
      1. フォームヘッダーを右クリックします。
      2. 移動先 構成 > 関連リスト.
      3. [利用可能] リストで [最近の脅威のルックアップ結果 (Recent Threat Lookup Results)] を見つけて、[選択済み] リストに移動します。
      4. [保存] をクリックします。
        [最近の脅威のルックアップ結果 (Recent Threat Lookup Result)] タブで、各統合ベンダーからの最近の脅威のルックアップ結果を表示できるようになりました。
        最近の脅威のルックアップの結果
    5. 特定のルックアップの生の結果など、詳細を表示するには、[結果の値] をクリックします。
      注:
      VirusTotal または OPSWAT Metadefender 実装が使用されると、以下に示すように詳細が統合されます。
      [脅威のルックアップの結果] の詳細