セキュリティタググループとタグのセットアップ

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む3読むのに数分

    • セキュリティインシデント、応答タスク、脆弱性一致アイテム、観測事象、IoC、およびセキュリティケースにタグを割り当てて、応答レコードのメタデータを作成し、特定のタイプのセキュリティコンテンツにアクセスする必要があるユーザーを定義できます。タグをセキュリティグループに追加して整理することができます。

    始める前に

    必要なロール:sn_si.admin

    手順

    1. 移動先 すべて > Security Operations > セキュリティタグ > グループ.
      デフォルトの分類グループ 3 つがベースシステムに含まれています。
      • 拡張許可リスト/拒否リスト (Enrichment allow list/deny list):このグループは、レコードを許可リストまたは拒否リストのレコードとして扱うかどうかを定義します。許可リストレコードは一般的に重要性が低いため、無視できます。一般的に、拒否リストレコードの方が重要です。
      • メタタグ:このグループはデモデータとして提供されます。これを使用して、SecOps アプリケーションで使用されるカスタム分類タグを作成できます。
      • Traffic Light Protocol:このグループは、機密情報が正しい対象者と共有されるようにするために使用されます。4 つの色 (白、緑、オレンジ、赤) を使用して、さまざまな感度を示します。色ごとに適切な読み取り/書き込みアクセスロールを割り当てることができます。信頼できるセキュリティサークルと観測事象を共有する場合、信頼できるセキュリティサークルのプロファイルに割り当てられたタグによって、サークルで共有できる TLP タグ付き観測事象が次のように決まります。
        • TLP:白:TLP:白タグの付いた観測事象のみを TLP:白のプロファイルに共有できます。
        • TLP:緑:TLP:白タグとTLP:緑タグの付いた観測事象を TLP:緑のプロファイルに共有できます。
        • TLP:オレンジ:TLP:白タグ、TLP:緑タグ、TLP:オレンジタグの付いた観測事象を TLP:オレンジのプロファイルに共有できます。
        • TLP:赤:TLP タグに関係なく、すべての観測事象を TLP:赤のプロファイルに共有できます。これは、TLP:赤が最高ランクの TLP タグであるためです。
        注:
        他の TLP 色を追加することもできますが、含まれている 4 つの色以外の色は、Forum for Incident Response and Security Teams (FIRST) では有効なものとみなしません。
    2. [新規] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      フィールド 説明
      名前 セキュリティグループの名前を入力します。
      複数選択を許可する グループを共有するレコードに複数のセキュリティタグをアサインできるようにする場合は、このボックスをオンにします。
      アクティブ グループをオンまたはオフにします。
      説明 このグループの説明を入力します。
    4. フォームヘッダーを右クリックし、[保存] を選択します。
      [セキュリティタグ] 関連リストが表示されます。
    5. [セキュリティタグ] 関連リストで、[新規] をクリックします。
    6. 必要に応じて、フォームのフィールドに入力します。
      フィールド 説明
      名前 分類タグの名前。
      セキュリティタググループ グループ関連リストの [新規] ボタンを使用してタグを作成した場合、このフィールドはデフォルトで現在のグループになります。必要に応じて別のグループにタグを追加できますが、これはオプションです。
      順序 フォームまたはリスト内でのタグの表示順序を指定します。
      このタグの色を選択します。
      制限されたアクセスを強制する このチェックボックスをオンにすると、ユーザーがこのセキュリティタグを持つレコードを読み書きするために必要な読み取りロールや書き込みロールをアサインできます。
      アクティブ タグをオンまたはオフにします。
      説明 このタグの説明。
      ロール (読み込みアクセス) セキュリティタグへの読み取りアクセス権をアサインするには、ロックアイコンをクリックし、適切なアクセスロールを選択して、ロックアイコンを再度クリックします。このフィールドは、[制限されたアクセスを強制する] チェックボックスをオンにした場合のみ表示されます。
      ロール (書き込みアクセス) セキュリティタグへの書き込みアクセス権をアサインするには、ロックアイコンをクリックし、適切なアクセスロールを選択して、ロックアイコンを再度クリックします。このフィールドは、[制限されたアクセスを強制する] チェックボックスをオンにした場合のみ表示されます。
    7. さらにセキュリティタグを作成するには、必要に応じて繰り返します。
    8. [更新] をクリックします。
      注:
      次の場所に移動して、新しいタグを作成することもできます Security Operations > セキュリティタグ > タグ. 手順は同じです。