TISCのレポートテンプレートについて
ユーザーのグループ内で共有できるレポートテンプレートを再利用して、迅速かつ一貫性のあるレポートを生成する機能を定義します。
この機能を使用して、ケースや脅威インテリジェンスに適用できるさまざまなタイプのレポートテンプレートを作成します。これらのテンプレートは、組織に対するあらゆる脅威に関連する進行中の調査のステータスを提供し、同じレポートを生成するのに役立ちます。
このセクションでは、ケースレポートと脅威インテリジェンスレポートの両方に CTI レポートを実装する方法について説明します。また、アドミン (テンプレート設計) とアナリスト (ランタイム) の両方のエクスペリエンスも提供します。
ケースレポートの場合は、カスタムケースタスクフォームフィールドまたは関連リストをレポートテンプレートに追加できます。
さまざまなレポート要素を使用して、要件に基づいて両方のレポートをフォーマットおよび構成できます。
必要なロール:sn_sec_tisc.admin
次の表では、ベースシステム内でプロビジョニングされるいくつかのケースおよび脅威インテリジェンスレポートテンプレートについて説明します。
| 名前 | 説明 |
|---|---|
| ケースステータスレポート:攻撃者プロファイル | このレポートは、脅威のコンテキストと組織との関連性、攻撃者の行動と潜在的な目標、IOC 拡張、関連するマルウェアとツール、観測された TTP、既存の TTP との違い (正味の新機能、わずかな変更など) を理解しようとする、攻撃者に関連する進行中のケース調査に関するステータスを提供するように設計されています。 |
| エグゼクティブサマリー | また、特定のリスクについて上級意思決定者に情報を提供できるようにもなっています。上級管理者に理解してもらうことに重点を置き、戦略的な問題については「何が」「いつ」ではなく「なぜ」「どのように」を明らかにします。長文の物語を書くための技術的な詳細や付録は、このレポートには含まれません。 |
| 事後調査のサマリー:攻撃者プロファイル | このレポートは、組織に対する脅威のコンテキストと関連性を提供するように設計されています。敵の行動と潜在的な目標。IOCエンリッチメント;関連するマルウェアとツール。観察されたTTP;既存の TTP との違い – 新たな機能、わずかな変更など。 |
| 脅威インテリジェンス:アラート | アラートレポートは、ユーザー定義の基準を満たす特定のセキュリティアラートを一覧表示する、より汎用的でユーザーが構成可能なレポートであり、重要でない通知の管理によく使用されます。 |
| 脅威インテリジェンス:チッパー | チップレポートは、特定のビジネスに直接関連する攻撃者、テクニック、傾向に関する実用的でタイムリーな情報を提供する脅威インテリジェンスレポートです。 |
| 脅威インテリジェンスレポート:定期的なインテリジェンスレポート | 定期レポートは、特定の脅威やアラートに焦点を当てるのではなく、ビジネスオペレーション、プロジェクト、または会社の全体的なステータスの一般的な概要を提供する、月次または四半期ごとのドキュメントなどの定期的な更新です。 |
注:
デフォルトでは、これらのレポートのステータスは「公開済み」で、読み取り専用モードになります。レポートテンプレートは読み取り専用モードのため、ユーザーはテンプレートを編集できません。また、レポートテンプレートが無効になるため、アナリストはレポートを生成できません。