観測事象の定義
観測事象は、スケジュール済みフィードの取り込みから、またはインポートアシスタントから取得できます。ただし、必要に応じて観測事象を作成できます。
始める前に
必要なロール:sn_sec_tisc.analyst
手順
- 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 脅威インテリジェンスライブラリ > 観察事項 > すべての観察事項.
- [New] をクリックします。
-
観測可能タイプを選択します。
[新しい観測事象レコードの作成 (Create New Observable record)] フォームが表示されます。注:観測事象、インジケーター、エンティティ、オブジェクトのオブジェクトレコードを新たに作成するたびに、ソースレコードが作成され、新しいオブジェクトレコードが作成されたことを示すプロンプトメッセージが表示されます。その後、ユーザーは集計レコードにリダイレクトされます。
-
フォームのフィールドに入力します。
注:新しい観測事象を作成するか、既存の観測事象を表示するたびに、デフォルトで [添付ファイル] ペインがフォームビューに表示されます。右側のコンテキストメニューの [添付ファイル] アイコンをクリックするか、 設定 > ワークスペース をクリックし、[ サイドバーを表示] を無効にします。詳細については、「ネクストエクスペリエンスワークスペースの設定を構成する」を参照してください。
表 : 1. 詳細セクション フィールド 説明 値 観測事象に関連付けられている値 (IP アドレスやハッシュなど)。 説明 観測事象レコードの説明。 作成者 名前を入力します。 タイプ IP アドレス、ドメイン名、アーティファクト、ディレクトリ、ファイル、ハッシュなどの観測事象の分類タイプ。 デフォルトでは、これは新しいレコードを選択したときに表示されます。
ステータス 観測事象のステータス (アクティブまたは非アクティブ)。 攻撃フェーズ LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを表します。 TLP TLP に基づくデータの機密性の設定を示す一意の値。 評判 観測事象の悪意のある評判を指定します。 ステータス 観測事象のステータス (アクティブまたは非アクティブ) を入力します。 脅威スコア その観測事象の脅威スコアを示します。 有効期限 観測事象レコードの有効期限を指定します。 ソース このレコードの作成元である脅威のソースを指定します。 信頼性 この観測事象レコードの信頼度を入力します。 信頼度プロパティは、作成者がデータの正確性に対して持っている信頼性を識別します。信頼度値は 0~100 の範囲にする必要があります。
システムの更新を防止 このフラグを true に設定すると、レコードのフィールドの値が上書きされなくなります。 誤検出 観測事象が誤検出として識別されたかどうかを示すブールフラグ。 表 : 2. 属性 フィールド 説明 解決先 ドメイン名が解決される 1 つ以上の IP アドレスまたはドメイン名への参照のリストを指定します。 FQDN である 完全修飾ドメイン名 (FQDN) は、インターネットホストまたはコンピューターの完全なアドレスです。ホスト名、ドメイン名、およびトップレベルドメイン (TLD) を指定することで、ドメインネームシステム (DNS) 内の正確な場所を提供します。 表 : 3. 追加情報 フィールド 説明 脅威レベル 観測事象レコードの脅威レベルを示します。 初回確認日 この観測事象レコードが悪意のあるアクティビティを実行していることが最初に確認された時間。 脅威の重大度 観測事象レコードの脅威の重大度を示します。 最終確認日 この観測事象レコードが悪意のあるアクティビティを実行していることが最後に確認された時間。 使用率カテゴリ ボットネットやフィッシングなど、観測事象が該当するカテゴリ。 攻撃フェーズ LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを表します。 追加コンテキスト 追加コンテキストを追加します。 ソース このレコードの作成元である脅威のソースを指定します。 重要:ソースの報告済みスコア:このフィールドには、観測事象の取り込み元のソースによって報告された脅威スコアの集計値が含まれます。デフォルトでは利用できないため、このフィールドを観測事象レコードフォームに表示するには、手動で追加する必要があります。表 : 4. 属性 フィールド 説明 解決先 ドメイン名が解決される 1 つ以上の IP アドレスまたはドメイン名への参照のリストを指定します。 FQDN である 完全修飾ドメイン名 (FQDN) は、インターネットホストまたはコンピューターの完全なアドレスです。ホスト名、ドメイン名、およびトップレベルドメイン (TLD) を指定することで、ドメインネームシステム (DNS) 内の正確な場所を提供します。 注:[解決先 (Resolves To)] および [FQDN である (Is FQDN)] 属性は、観測事象の [ドメイン名] タイプにのみ適用されます。表 : 5. 観測事象タイプ属性 属性名 属性タイプ アーティファクト - 復号化キー
- 暗号化アルゴリズム
- MD5 ハッシュ
- MIME タイプ
- SHA1 ハッシュ
- SHA256 ハッシュ
- SHA512 ハッシュ
- URL
AS 番号 - 名前
- RIR
ディレクトリ - ディレクトリ作成時刻
- ディレクトリの最終アクセス時刻
- ディレクトリの最終変更時刻
- エンコードパス
ドメイン名 - FQDN である
- 解決先
メールアドレス - 表示名
- メール本文
- Bcc でのメール受信者
- Cc でのメール受信者
- To でのメール受信者
- メール送信者
- メールの件名
- 送信日
ファイル - 追加情報
- エンコードされたファイル名
- ファイル作成時刻
- ファイルの最終アクセス時刻
- ファイルの最終変更時刻
- ファイル名マジックナンバー
- MD5 ハッシュ
- MIME タイプ
- SHA1 ハッシュ
- SHA256 ハッシュ
- SHA512 ハッシュ
IPv4 アドレス - AS 番号
- MAC アドレス
IPv4 CIDR - AS 番号
- MAC アドレス
IPv6 アドレス - AS 番号
- MAC アドレス
IPv6 CIDR - AS 番号
- MAC アドレス
ネットワーク - 宛先バイト
- 宛先パケット数をカウント
- 宛先ポート
- 終了時間
- HTTP メッセージ本文の長さ
- HTTP 要求ヘッダー
- HTTP 要求メソッド
- HTTP 要求値
- HTTP 要求バージョン
- ICMP コードバイト
- ICMP タイプバイト
- ネットワークがアクティブ
- ソケットがブロック
- ソケットがリッスン
- ネットワークプロトコル
- ソケットアドレスファミリ
- ソケット記述子
- ソケットハンドル
- ソケットオプション
- ソースタイプのソースバイト数
- ソースパケット数
- ソースポート
- 開始時間
- TCP 宛先フラグ
- TCP ソースフラグ
プロセス - ASLR が有効
- コマンドライン
- 現在の作業ディレクトリ(CWD)
- DEP が有効
- 環境変数
- 非表示
- 所有者 SID
- プロセス ID
- 優先度
- プロセス作成時刻
- サービスの説明
- サービスの表示名
- サービスのグループ名
- サービス名
- サービスの起動タイプ
- サービスステータスサービスタイプ
- スタートアップ情報
- Windows 完全性レベル
- ウィンドウタイトル
ソフトウェア - 共通プラットフォーム一覧 (CPE)
- サポート対象の言語
- ソフトウェア識別(SWID)
- ベンダーバージョン
ユーザーアカウント - アカウント作成時刻
- アカウントの有効期限
- アカウントログイン
- 口座種類
- 追加情報
- 特権のエスカレートが可能
- 認証情報の最終変更時刻
- 表示名
- 最初のログイン時刻
- アカウントが無効である
- 特権付きである
- サービスアカウントである
- 前回のログイン時間
- ユーザー ID
Windows レジストリキー - キーの変更
- 時間レジストリ値
- サブキー数
X.509 証明書 - 追加情報
- 権限キー識別子
- 基本的な制約
- 証明書ポリシー
- CRL 配布ポイント
- 拡張キー使用率
- すべてのポリシーを禁止
- 発行者
- 発行者の代替名
- 自己署名である
- キーの使用率
- 名前の制約
- ポリシーの制約
- ポリシーマッピング
- 秘密鍵の使用の有効開始日
- 秘密鍵の使用の有効期限
- 署名アルゴリズム
- 件名
- サブジェクトの代替名
- サブジェクトのディレクトリ属性
- サブジェクトキー識別子
- サブジェクトの公開鍵アルゴリズム
- サブジェクトの公開鍵指数
- サブジェクトの公開鍵係数
- 有効期間開始日
- 有効期限
- バージョン
表 : 6. インサイト フィールド 説明 メモ 観測事象レコードに関するメモを追加します。 -
[保存] をクリックします。
保存すると、「新しい観測事象レコードが作成されました。レコードを編集して新たな関連を作成するには [続行] をクリックしてください」というプロンプトメッセージが表示されます。
-
[続行] をクリックします。
重要:新しい観測事象レコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。
観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。
表 : 7. タグと分類 フィールド 説明 Tags タグを選択 (Select Tags) 観測事象に関連付けられているタグを選択します。 タグを追加 新しいタグを追加します。 分類 分類を選択 (Select Taxonomy) 観測事象に関連付けられている分類を選択します。 分類値を追加 (Add Taxonomy Values) 観測事象に関連付けられている分類の値を追加します。 表 : 8. ソースレコード フィールド 説明 観測事象のソースレコードの詳細が表示されます (存在する場合)。
次のタスク
次の表に、観測事象に関連する関連レコードを示します。
| 関連リスト | 説明 |
|---|---|
| 観測事象 | この観測事象に関連する観測事象のリスト。 注: このセクションには、2 つの観測事象間の潜在的な関係も含まれています。詳細については、「観測事象と観測事象の潜在リレーションシップを確認する」および「観測事象と観測事象の関係を定義する」を参照して、2 つの観測事象間の確認済みの関係を確認してください。 |
| インジケーター | この観測事象に関連するインジケーターのリスト。 |
| 攻撃パターン | この観測事象に関連する攻撃パターンのリスト。 |
| キャンペーン | この観測事象に関連するキャンペーンを一覧表示します。 |
| インフラストラクチャ | この観測事象に関連するシステム、ソフトウェアサービス、および関連する物理リソースまたは仮想リソースなどのインフラストラクチャを一覧表示します。 |
| 侵入セット | この観測事象に関連する共通のプロパティを持つ一連の攻撃者の行動やリソースなどの侵入セットを一覧表示します。 |
| マルウェア | この観測事象に関連するマルウェアソースレコードを一覧表示します。 |
| 攻撃者 | この観測事象に関連する攻撃者を一覧表示します。 |
| 脅威イベント | この観測事象に関連する脅威イベントを一覧表示します。 |
| 脆弱性 | 観測事象が IP アドレスの場合、このリストには、この観測事象に関連する、一致する IP アドレスを持つすべてのリソース (構成アイテム) が表示されます。 |
注:
- このオブジェクトに関連付けられた関連レコードをリンクおよびリンク解除できます。詳細については、「脅威インテリジェンス関連レコードへのリンク」を参照してください。
- また、[関連レコード] セクションで、[観測事象] フォームビューにある [潜在リレーションシップ (Potential Relationships)] セクションを使用して、2 つの観測事象間の関係を確認できます。詳細については、「関連レコードから潜在リレーションシップを確認する」を参照してください。
- ケースに観測事象を追加できます。詳細については、「ケースに追加する」を参照してください。
- 観測事象に対して拡張アクションを実行することもできます。詳細については、「ケース内で拡張アクションを実行」を参照してください。