調査キャンバスの操作
調査キャンバスは、脅威インテリジェンス (TI) アナリストにとってより有益な情報を提供する重要な機能です。1 対 1 または 1 対多の関係をマッピングし、観測事象、セキュリティ侵害のインジケーター (IOC)、またはエンティティに関連する情報を可視化することで、構造化されたフレームワークを提供します。
調査キャンバスを使用することで、脅威アナリストは効果的に次のことができます。
- 関係のマッピング:観測事象、セキュリティ侵害のインジケーター (IOC)、攻撃者、攻撃パターン、影響を受ける資産など、さまざまなエンティティ間のノード接続を可視化します。調査キャンバス上の各オブジェクトは、オブジェクトタイプ、ノードタイプ、およびステータスとともに、特定の色で表されます。ステータスは、観測事象やその他のオブジェクトタイプに対する「 不審」、「 低」、「 重大 」など、オブジェクトの評判を反映します。インジケーターは、関連する脅威の重大度とともに表示されるため、分析の優先順位付けに役立ちます。
- ケースまたはキャンバスをリンク:ケースまたはキャンバスをリンクして分析を強化し、ケース管理内の脅威の状況をより包括的に把握できるようにします。
- リンク機能を使用すると、アナリストはノードを動的に追加または削除できます。これにより、キャンバスに対するノード間の既存の関係も入力されます。
- 調査キャンバスのコンテキスト内で関係を個別に保存することによる一時的な関係グラフ。
- MITRE テクニックの関連付け:MITRE テクニックをキャンバス上のノードに直接関連付けるか削除し、MITRE キルチェーンカードで分析を提供します。
調査キャンバスのエントリポイント
- 最初のエントリポイント:新しい空白のキャンバス:このエントリポイントにより、アナリストはノードやリンクのない新しい空白のキャンバスを開くことができます。
- 2 番目のエントリポイント:ケース調査のキャンバスを開く:
- このエントリーポイントでは、既存の調査ケースを開き、キャンバスの編集、変更、および名前変更を行うことができます。
- 既存のアーティファクトをノードとして含む新しいキャンバス。