時間の経過に伴う脅威のまん延を判断したり、修復または根絶作業をテストしたりします。セキュリティインシデントから、個別または複数の観測事象と検索対象の日付範囲を選択できます。結果は [セキュリティインシデント観測事象] 関連リストに含まれます。
始める前に
必要なロール:sn_si.analyst
このタスクについて
サイティング検索機能には、サイティング検索を実行するフロー Security Operations Integration - サイティング検索フロー があります。このフローは、観測事象のリストを受け入れ、実装機能を検索し、サイティング検索構成に基づいてクエリを作成し、構成されたフローに基づいて検索を実行します。 注: アクティブな実装を構成する必要があります。サイティング検索は、Elasticsearch、Splunk、McAfee ESM、HPE ArcSight Logger、および QRadar インシデント拡張をサポートしています。実装を使用できない場合、[サイティング検索を実行] などの機能アクションは製品メニューに表示されません。
手順
-
セキュリティインシデントに移動します。
-
[IoC を表示] 関連リンクをクリックします。
-
[関連リスト] タブから [観測事象] を選択します。
-
サイティング検索を実行する観測事象を選択します。
-
[選択した行のアクション...] ドロップダウンメニューで [サイティング検索を実行] をクリックします。
[サイティング検索を実行] ダイアログボックスが開きます。
![[サイティング検索を実行] ダイアログボックス](https://www.servicenow.com/docs/api/khub/maps/t_v5c007cUPl6LnnTo6a5g/resources/Pa_QIZA_WRyGhPOWHmLolQ-t_v5c007cUPl6LnnTo6a5g/content?v=ba8f9bbb9bb66b18)
注: ダイアログボックスに入力された値は、この実行の機能構成値を上書きします。
-
データを検索する日数または日付範囲を選択します。
| オプション | 説明 |
|---|
| 前の |
検索するインシデントの作成までの時間数または日数。 デフォルトは 7 日です。制限は 99 時間または日です。
|
| 次の間 |
検索する日付の範囲。デフォルトの日付は次のとおりです。
- インシデントが作成された日時。
- インシデントのオープンの 7 日前の日時。
|
注: [前の] は、検索するインシデントの作成までの時間数または日数です。デフォルトは 7 日です。制限は 99 時間または日です。
-
[検索] をクリックします。
サイティング検索レコードが作成されます。集計および関連するサイティングデータは、
[サイティング検索結果] タブおよび
[サイティング検索の詳細] タブの下に表示されます。
注: サイティング検索結果データは、生データを含むように構成された実装の場合を除き、トラステッドセキュリティサークル と共有できます。
表 : 1. サイティング検索結果
| 結果 |
説明 |
| 数値 |
サイティング検索の識別子。 |
| 観測事象数 |
クエリで検索される観測事象の数。 |
| 内部発生回数 |
内部発生回数の数。 |
| 外部発生回数 |
外部発生回数の数(脅威共有から受信)。 |
| 一致する構成アイテム |
環境内で見つかった各観測事象について、cmdb 内の既存のレコードと一致した構成アイテムの数。 |
| 開始日の範囲 |
サイティングの検索を開始する時間。 |
| 終了日の範囲 |
サイティングの検索を終了する時間。 |
| 更新日時 |
最後の変更の日時。 |
注:サイティング検索に使用する実装が生データを含むように構成されており、少なくとも 1 つのサイティングが見つかった場合、生データサンプルを含む添付ファイルがセキュリティインシデントの先頭に表示されます。
表 : 2. サイティング検索の詳細
| 詳細 |
説明 |
| サイティング検索 |
サイティング検索の識別子。 |
| 観測事象 |
クエリによって検索された観測事象。 |
| 観測可能タイプ |
クエリによって検索された観測事象のタイプ。 |
| 内部発生回数 |
内部発生回数の集計数。 |
| 外部発生回数 |
外部発生回数の集計数(脅威共有から受信)。 |
| 更新日時 |
最後の変更の日時。 |