調査キャンバスでのタイムラインの使用

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • 脅威インテリジェンスセキュリティセンター (TISC) 内の調査キャンバスのタイムライン機能を使用すると、アナリストは調査中にエンティティに関連付けられたタイムラインイベントを可視化、作成、および編集できます。この機能により、時間分析の有効性が大幅に向上します。

    始める前に

    この機能は、イベントを時系列ビューで表すことで分析プロセスを簡素化し、迅速な意思決定とより効率的な脅威対応もサポートします。

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. 脅威アナリストワークベンチアイコンを選択します。
    3. 検索項目 調査キャンバス > すべてのキャンバス.
    4. 任意のキャンバスレコードを選択します。
      キャンバスレコードに移動するもう 1 つのオプションはケースからです。これについては、次のステップで説明します。
    5. オプション: 検索項目 ケース管理 > すべてのケース.
    6. オプション: 任意のケースレコードを開きます。
      注:
      ケースを作成するときは、キャンバスを作成するか、既存のキャンバスをリンクする必要があります。リンク後、タイムラインを追加するオプションを含むキャンバスアクションがユーザーインターフェイスで自動的に使用できるようになります。
    7. 選択したキャンバスレコードの [調査キャンバス ] セクションに移動します。
    8. [タイムラインを表示 ] トグルアイコンを選択して、タイムラインセクションを表示します。

      タイムラインセクションは非表示になっているため、[ タイムラインを表示 ] オプションを必ず選択する必要があります。

      図 : 1. 調査キャンバスの [タイムラインを表示] アイコン
      調査キャンバスにタイムライン切り替えを表示

      次のスクリーンショットは、調査キャンバスのタイムラインコンポーネントを示しています。

      コンポーネント番号 コンポーネント名 説明
      01 範囲インジケーター 現在発生している、または決定された期間中に以前に発生したイベントを表します。
      02 イベントインジケーター 決定された期間中にイベントが発生した特定の瞬間を表す注釈行
      03 アイコン 特定のイベントタイプの視覚的表現
      04 ポップオーバー タイムラインを選択すると、ポップオーバーが表示されます。ユーザーがタイムラインにカーソルを合わせると、ツールヒントが表示されます。
      05 グループ化されたイベント 2 つ以上のイベントが現在のビュー内で近すぎるために視覚的にグループ化された場合に自動的に表示されます。
      06 ズームアウトコントロール タイムラインビューをタイムライン上の以前の時間とイベントに移動します
      07 ズームインコントロール タイムラインビューをタイムライン上の後の時間とイベントに移動します
      08 タイムラインの後方制御 時間を遡って戻り、現在のビューと同じ時間範囲を表示します
      09 凡例コントロール 凡例を表示または非表示にするドロップダウン
      10 タイムラインラベル 表示されているタイムラインのセクションを反映するために動的に変更または更新される日付ラベル
      11 タイムラインのフォワードコントロール 時間とともに前方に移動し、現在のビューと同じ時間範囲を表示します。
      12 開始日 ケースに対してイベントがオープンされた開始日時。
      13 終了日 イベントがクローズされる終了日時。時間は分数と時間数で示されます。

      タイムラインイベント

    9. 開始日終了日を選択します。
    10. 変更を適用する場合は [適用 ] を選択し、別のタイムラインを選択する必要がある場合は [ リセット ] を選択してリセットします。

      キャンバスには複数のイベントを含めることができます。特定の期間内の特定のイベントまたはイベントのサブセットに焦点を当てるには、目的の日付範囲を設定して [適用] をクリックします。

      適用すると、タイムラインビューがズームインしてフィルタリングされたイベントのみが表示されるため、焦点を絞った分析が可能になり、関連するアクティビティを簡単に調査できます。

      キャンバスの観点からは、各ノードに複数のイベントを含めることができます。ノードを選択し、ノードを右クリックして [詳細を表示] または [ レコードを開く] を選択すると、そのレコードのフォームビューが表示されます。

      キャンバスでノードの詳細を表示

      さらに、フォーム内で、[タイムラインイベント] というエントリが追加されている [関連レコード] セクションに移動します。これにより、その特定のノードに関連付けられているすべてのタイムラインイベントの詳細ビューが表示され、キャンバスの可視化がリンクされます。

      関連レコード:タイムラインイベント

      [ タイムラインイベント ] セクションでは、選択したノードに関連付けられたイベントを確認できます。このセクションを使用すると、ノードのイベント を追加 または 削除 できます。

      キャンバス - 関連レコードへのタイムラインイベントの追加

      この機能では、キャンバス上の可視化を補完することで、ノードにリンクするイベントを直接制御できます。

      重要:
      観測事象のデフォルトイベント: 特定のイベントは、特定の観測事象に対して自動的に表示されます。たとえば、ファイル観測事象には [初回確認日] フィールドと [ 最終確認日 ] フィールドが含まれます。

      タイムラインに表示されるフィールドを決定するベースシステムでプロビジョニングされたシステムプロパティ sn_sec_tisc.timeline_node_fields

      デフォルトでは、[first_seen] フィールドと [last_seen] フィールドが含まれています。要件に基づいて、このプロパティを変更して、新しいフィールドを追加したり、既存のフィールドを削除したりすることができます。

      • ファイル観測事象がキャンバスに追加されると、これらのイベントがデフォルトで表示されます。
      • これらのデフォルトイベントは構成によって駆動されるのではなく、観測事象レコードに入力された値に基づいて自動的に表示されます。
      • [ 初回確認日][最終確認日] の値が含まれている場合、追加のセットアップなしに対応するイベントがキャンバスに表示されます。