自動 IOC エンリッチメント

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:1分

    • 特定の基準に一致したときに、フローを使用して IOC の拡張を自動化する方法について説明します。

    始める前に

    必要なロール:
    • システム管理者 (表示、作成、編集)
    • sn_sec_tisc.admin (表示)

    このタスクについて

    次の場合にのみ、IOC 拡張のトリガーを自動化します。
    • 観測事象のタイプがドメイン名、IPv4 アドレス、または IPv6 アドレスである。
    • 観測事象のステータスが「処理済み」である。
    • 観測事象に拡張済みのタグや [拡張をスキップ] タグがない。

    手順

    1. 移動先 すべて > 脅威インテリジェンスセキュリティセンター > アドミニストレーション.
    2. 選択 自動フロー.
    3. [自動 IOC エンリッチメント] アクションのリンクを選択して、フローデザイナーで各ルールの詳細を表示します。
    4. 次のトリガーのフローデザイナーアクションを表示します: 
      Observable Updated where (Type is Domain Name, or Type is IP address (V4), or Type is IP address (V6); and Processing Status is Processed; and TISC Tags does not contain Enriched, or TISC Tags does not contain Skip Enrichment, or TISC Tags does not contain Potential New Threat)
    5. 観測事象が IPv4 または IPv6 アドレスで、許可された CIDR 範囲内にある場合:
      1. 観測事象を許可リストに追加します。
      2. 観測事象のタグを [拡張をスキップ] に更新します。
      3. この観測事象のフローを終了します。
    6. それ以外の場合は、利用可能な機能で観測事象データを拡張します。
      1. 脅威のルックアップとサイティング検索を実行して、観測事象に関する追加情報を収集します。
      2. 拡張データで観測事象を更新します。
      3. IOC が処理されたことを示す [拡張済み (Enriched)] タグを追加します。
    7. また、観測事象の評判が「クリーン」の場合:
      1. 観測事象を「誤検出」としてマークし、非アクティブ化します。
    8. その他、観測事象の評判が不明な場合:
      1. [潜在的な脅威で拡張済みというわけではない (Not Potential Threat & Enriched)] タグを追加して、脅威ではないことを示します。
      TISC での自動 IOC エンリッチメント。