ケース内で拡張アクションを実行

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:1分

    • このセクションを使用して、拡張アクションがケースに対してどのように実行されるかを理解します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. [脅威アナリストワークベンチ (Threat Analyst Workbench)] アイコンをクリックします。
    3. 検索項目 ケース管理 > すべてのケース.
      すべてのケースが表示されます。
    4. 任意のケースまたはケースタスクを選択します。
    5. [アーティファクト (Artifacts)] タブに移動します。
    6. [観測事象] 関連リストを選択します。
    7. 観測事象を 1 つ以上選択します。
    8. ドロップダウンリストから任意の拡張アクションをクリックします。
    9. 利用可能な実装を選択します。
    10. [送信] をクリックします。
      たとえば、[脅威のルックアップを実行] などです。選択した拡張アクションが実行され、[選択した観測事象で観測事象の拡張実行が開始されました。実行が完了すると、それぞれの観測事象の詳細ページで結果を確認できます。(Observable enrichment execution has started on the selected observable(s). Results will be available in the detail page of respective observable(s) once the execution is complete.)] という情報メッセージが表示されます。
      注:
      実行が開始または完了すると、作業メモがフォームビューのアクティビティストリームにポストされます。
      拡張アクション