脅威インテリジェンス拡張のためのドメインと URL のルックアップを実行するには、 TISC との WHOIS 統合を設定します。この統合により、潜在的な脅威の判断に役立つ観測事象のコンテキストが提供されます。
始める前に
必要なロール:sn_sec_tisc.admin
重要: 脅威インテリジェンスセキュリティセンター および
Whois Observable Enrichment プラグインをインストールし、アクティブにする必要があります。
ServiceNow Store から Whois 統合をダウンロードし、使用する前に有効な Whois アカウントがあることを確認してください。詳細については、次を参照してください。 ServiceNow Storeから統合をダウンロードする .
手順
-
移動先 .
-
WHOIS カードで、[新しい拡張を構成] を選択して WHOIS 統合を構成します。
-
[新しい拡張を構成 (Configure New Enrichment)] フォームのフィールドに入力します。
表 : 1. 拡張統合
| フィールド |
説明 |
| 名前 |
新しい拡張統合の名前を入力します。Whois など。 |
| ベンダー名 |
ベンダーの名前。選択したベンダーの詳細がデフォルトで入力されます。Whois など。 |
| 統合タイプ |
選択した統合のタイプ。例:「脅威のルックアップ」。 |
| 説明 |
新しい拡張統合の説明を入力します。 たとえば、 Whois 統合の説明は「脅威インテリジェンスセキュリティセンターの Whois 統合を使用すると、ドメイン名と URL の Whois ルックアップを送信して、URL 観測事象のコンテキストを取得し、脅威をより適切に判断することができます。 |
-
[統合構成] セクションにドリルダウンします。
-
Whoisサイトから取得した API キーを入力 (または貼り付け) ます。
-
[ 保存] を選択して変更を適用します。
統合の詳細が検証されます。デフォルトでは、 Whois 統合のステータスは非アクティブです。
-
[ 有効化] を選択して Whois 統合を有効にします。
タスクの結果
構成が完了すると、脅威インテリジェンスセキュリティセンターで観測事象の拡張を実行するためのWhoisを選択できます。