SIR TI から SIR TI へのデータ移行 TISC

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • TISC のデータ移行ジョブ構成を使用すると、既存の脅威インテリジェンスプラグインデータをTISCプラグインデータに直接移動できます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    このタスクについて

    • 選択的レコード移行:選択したテーブルのレコードのうち、指定した条件を満たすレコードのみが移行されます。
    • リレーションシップを含める:関連レコードは、[ リレーションシップを含める] チェックボックスがオンになっている場合にのみ移行されます。
    • エンティティ移行ステータス:エンティティ (観測事象またはオブジェクト) が移行されると、関連レコードとして移行されない限り、以降の移行に含まれなくなります。
      注:
      移行ユーティリティのレコード除外基準
      移行ユーティリティは、次の基準に基づいて特定のレコードを除外します。
      • 観測事象:安全なファイルの添付を含む ファイル タイプの観測事象は移行されません。
      • インジケーター:パターンフィールドまたはパターンタイプフィールドのいずれかに空白の値を持つインジケーターは移行されません。
      • オブジェクト:脅威インテリジェンスデータ内の MITRE TAXII プロファイルから取り込まれたオブジェクトは、脅威インテリジェンスセキュリティセンターに移行されません。
    • ケースレコード:[ クローズ済みケースを含める ] チェックボックスがオンでない限り、デフォルトでアクティブなレコードのみが移行されます。

    手順

    1. 移動先 すべて > 脅威インテリジェンスセキュリティセンター > データ移行ジョブの構成.
    2. [New] をクリックします。
    3. フォームで、必要に応じてフィールドに入力します。
      表 : 1. データ移行ジョブの構成
      フィールド 説明
      名前 データ移行の名前。
      テーブル TISCにレコードを移行するテーブルを選択します。
      移行の TISC テーブルオプションは次のとおりです。
      • 観察事項 (sn_ti_observable)
      • セキュリティ侵害のインジケーター (sn_ti_indicator)
      • セキュリティケース (sn_ti_case)
      • STIX V2 オブジェクト (sn_ti_stix2_object) (攻撃パターン、キャンペーン、対処措置などのオプション)
      注:
      • STIX V2 オプションを選択すると、TISC には MITRE ATT&CK を移行するためのフレームワークが異なるため、MITRE ATT&CK を除くすべての STIX オブジェクトが移行されます。
      • セキュリティケースの移行を選択すると、クローズ済みケースは移行されず、アクティブなケースのみが移行されます。

      たとえば、[ 観測事象 移行テーブル] を選択します。
      アクティブ データ移行プロセスがアクティブな場合は、このチェックボックスをオンにします。
      リレーションシップを含める 脅威インテリジェンスレコードの関係性を TISC レコードに移行するには、チェックボックスをオンにします。
      注:
      このチェックボックスをオンにすると、すべての関連エンティティが観測事象とともに移行され、チェックボックスをオフにすると、関連エンティティなしで単一の観測事象のみが移行されます。
      クローズ済みケースを含める クローズ済みケースをケースレコードの移行の一部として含める場合は、このチェックボックスをオンにします。
      セキュリティインシデントに関連付けられた観察事項のみを移行 セキュリティインシデントに関連付けられている観測事象を移行する場合はこのチェックボックスをオンにします。チェックボックスオフの場合は、セキュリティインシデントとの関連付けに関係なく、すべての観測事象が移行されます。
      条件 移行するデータのフィルタリングに使用できる条件を選択するオプション。
      追加の構成
      信頼性 移行された TISC エンティティ (観測事象、オブジェクト、またはインジケーター) の信頼度を入力します。

      信頼度は 0 〜 100 の範囲である必要があります。
      有効期限(日数) 移行された TISC エンティティの有効期限。
      注:
      既に TISC に移行されているレコードは、再度フェッチされると無視またはスキップされます。
    4. [Submit (送信)] を選択します。
    5. [今すぐ実行] をクリックして、データ移行を実行します。
      データ移行を実行すると、バックグラウンドジョブが実行され、移行ジョブが作成されます。このジョブは移行プロセスを作成し、これらの移行レコードのバッチサイズは 5000 です。
    6. [移行ジョブの実行] セクションで移行ジョブのステータスを確認します。
      ジョブステータスはキューに入れられ、バッチサイズの上限が 5000 レコードを超えないようにする必要があります。レコードをクリックすると、その特定のエンティティに対して移行されたすべてのオブジェクトが表示されます。
    7. [移行ジョブの実行] 関連リストで移行ジョブのステータスを確認します。
    8. レコードをクリックすると、処理ステータスが表示されます。
    9. 移行ジョブ実行レコードの [ 移行処理キュー レコード] 関連リストセクションで、バッチ移行ステータスを確認します。
      レコードの移行バッチサイズは 5000 です。
    10. 移行処理キューレコードの各関連リストで、バッチ移行の一環として作成された TISC エンティティを確認します。