統一されたエクスペリエンス機能とモーダル画面
次の表で、機能と適用される画面について説明します。
| 機能 | 適用される UX フレームワーク画面 | サポートされる統合 |
|---|---|---|
| 脅威のルックアップを実行 | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [脅威のルックアップの実行] に適用される共通入力または実装固有の入力はありません。 したがって、1 つ以上の実装を選択する画面 1 のみがセキュリティアナリストに表示されます。実装を選択すると、セキュリティアナリストはアクションを送信できるようになります。 |
|
| 観測事象の拡張を実行 | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [観測事象の拡張を実行] に適用される共通入力または実装固有の入力はありません。 したがって、1 つ以上の実装を選択する画面 1 のみがセキュリティアナリストに表示されます。実装を選択すると、セキュリティアナリストはアクションを送信できるようになります。 |
|
| サイティング検索を実行/Web サイティング検索を実行 (Run Web Sighting Search)/メールサイティング検索を実行 (Run Email Sighting Search) | 画面 1 の [実装を選択 (Select Implementations)] および画面 2 の [共通入力 (Common Inputs)] が適用されます。 サイティング検索では、Splunk およびその他の統合の複数の実装に共通する入力として日付と時刻の頻度が使用されます。 この画面は、日時の頻度を取得するセキュリティアナリストに表示されます。 FireEye HX など、これらの入力を必要としない統合の場合は無視されます。実装を 1 つ以上選択し、共通入力を指定すると、セキュリティアナリストはアクションを送信できるようになります。 |
|
| サンドボックスに送信 | 画面 1 の [実装を選択 (Select Implementations)] および画面 3 の [実装固有の入力 (Implementation specific inputs)] が適用されます。 [サンドボックスに送信] は、実装ごとに異なる入力を受け取ります。現在、この機能に共通の入力はありません。 たとえば、アナリストが CrowdStrike Falcon X Quick Scan、CrowdStrike Falcon X Windows 64、 CrowdStrike Falcon X Linux、および Zscaler を選択した場合、入力は変化します。CrowdStrike Falcon X Quick Scan および Zscaler には、それ以上の実行時間入力は必要ありません。CrowdStrike Falcon X Windows 64 は、CrowdStrike Falcon X Linux とは異なるオプションの実行時間入力を受け取ります。したがって、これらは個別に選択された実装に対して必要に応じて画面 3 で指定できます。 |
|
| ウォッチリストに公開 | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [ウォッチリストに公開] に適用される共通入力または実装固有の入力はありません。 したがって、1 つ以上の実装を選択する画面 1 のみがセキュリティアナリストに表示されます。実装を選択すると、セキュリティアナリストはアクションを送信できるようになります。 |
CrowdStrike Falcon ホスト |
| 要求を許可またはブロック | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [要求を許可またはブロック] に適用される共通入力または実装固有の入力はありません。 したがって、1 つ以上の実装を選択する画面 1 のみがセキュリティアナリストに表示されます。実装を選択すると、セキュリティアナリストはアクションを送信できるようになります。 |
|
| ホストの詳細を取得 | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [ホストの詳細を取得] に適用される共通入力または実装固有の入力はありません。 したがって、1 つ以上の実装を選択する画面 1 のみがセキュリティアナリストに表示されます。実装を選択すると、セキュリティアナリストはアクションを送信できるようになります。 |
|
| ファイルを取得 | 画面 1 の [実装を選択 (Select Implementations)] および画面 2 の [共通入力 (Common Inputs)] が適用されます。 [ファイルを取得] はファイル名、パスを共通入力として受け取ります。実装を 1 つ以上選択し、共通入力を指定すると、セキュリティアナリストはアクションを送信できるようになります。 |
FireEye HX |
| ネットワーク統計情報を取得 | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [ネットワーク統計情報を取得] に適用される共通入力または実装固有の入力はありません。したがって、1 つ以上の実装を選択する画面 1 のみがセキュリティアナリストに表示されます。実装を選択すると、セキュリティアナリストはアクションを送信できるようになります。 |
|
| 実行中プロセスを取得 | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [実行中のプロセスを取得] に適用される共通入力または実装固有の入力はありません。 したがって、1 つ以上の実装を選択する画面 1 のみがセキュリティアナリストに表示されます。実装を選択すると、セキュリティアナリストはアクションを送信できるようになります。 |
|
| 実行中のサービスを取得 | 画面 1 の [実装を選択 (Select Implementations)] のみが適用されます。 [実行中のサービスを取得] に適用される共通入力または実装固有の入力はありません。 したがって、1 つ以上の実装を選択する画面 1 のみがアナリストに表示されます。実装を選択すると、アナリストはアクションを送信できるようになります。 |
FireEye HX |
| ホストを隔離/ホストの隔離を解除 | 画面 1 の [実装を選択 (Select Implementations)] および画面 3 の [実装固有の入力 (Implementation specific inputs)] が適用されます。 [ホストを隔離]/[ホストの隔離を解除] は、実装ごとに異なる入力を受け取ります。 現在、この機能に共通の入力はありません。たとえば、アナリストがエンドポイントに FireEye HX と Microsoft Defender を選択した場合、入力は変化します。 FireEye HX には実行時間入力は必要ありません。一方、Microsoft Defender は [隔離タイプ] や [コメント] などの入力を受け取ります。 したがって、これらは個別に選択された実装に対して必要に応じて画面 3 で指定できます。 |
|
| 他のアクションを実行 | 画面 1 の [実装を選択 (Select Implementations)] および画面 3 の [実装固有の入力 (Implementation specific inputs)] が適用されます。 [追加のアクションを実行するホスト (Run Additional Actions Host)] は、実装ごとに異なる入力を受け取ります。現在、この機能に共通の入力はありません。 たとえば、アナリストが FireEye HX Standard Investigative Details Script、FireEye HX Triage Acquisition、および CrowdStrike Falcon Insight reg unload を選択すると、入力は変化します。 FireEye HX Standard Investigative Details Script と FireEye HX Triage Acquisition は、両方で異なる可能性がある入力として [コメント] を受け取ります。CrowdStrike Falcon Insight reg unload は [サブキー (Subkey)] を入力として受け取ります。 したがって、これらは個別に選択された実装に対して必要に応じて画面 3 で指定できます。
注: 現在、選択できる実装は 1 つのみです。将来のリリースでは、実装の複数選択がサポートされる予定です。 |
|