TISCのセキュリティコントロールリストについて
セキュリティコントロールリスト (SCL) は、脅威インテリジェンスアナリストがアプリケーション内およびセキュリティツール全体で観測事象をどのように処理するかを決定するのに役立つ事前定義された分類リストです。
脅威インテリジェンスアナリストは、許可リスト、拒否リスト、ウォッチリストなどの特定のセキュリティコントロールリストに観測事象を追加することで、観測事象を分類できます。
観測事象をセキュリティコントロールリストに分類することで、 TISC全体の意思決定とフィルタリングを自動化できます。
次のリストでは、SCL 分類を使用して観測事象をフィルタリングするさまざまな方法について説明します。
- 受信フィルタリングルールを適用して、セキュリティコントロールリストに基づいて (通常は許可リストに対して) 観測事象を除外します。
- 脅威インテリジェンスライブラリの観測事象リストからのデータのエクスポート。
- TISC と統合されたファイアウォールツールでブロックまたはブロック解除するための観測事象を送信する。
- 観測事象を送信して、特にウォッチリストカテゴリに対して TISC で SIEM 統合アプリケーションを監視します。
- 観測事象が拒否リストに含まれている場合に取り込み中にアナリストに通知しないなど、自動化フローとメール通知を使用します。
- 統合に TISC API を使用する場合は、これらのフィールドに基づくフィルタリングを行います。