セキュリティインシデント観測事象の作成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • セキュリティインシデント内で観測事象を作成および表示し、適切なアクションを実行できます。セキュリティインシデントで観測事象を利用できるようにすると拡張性が高まり、応答時間が短縮されます。

    始める前に

    必要なロール:
    • sn_ti_observable.write (書き込み)
    • sn_ti_observable.read (読み取り)
    • sn_ti_observable.admin (削除)

    手順

    1. [セキュリティインシデント] に移動します。
    2. インシデントを選択します。
    3. [セキュリティインシデント観測事象 (Security Incident Observables)] 関連リストタブをクリックします。
    4. [新規] をクリックします。
    5. 必要に応じて、フォームのフィールドに入力します。
      フィールド 説明
      分類タグを選択 レコードにメタデータを追加するためにセキュリティタグを設定しアクティブ化した場合、1 つ以上のタグを選択して、観測事象の感度を指定できます。

      セキュリティタグを設定またはアクティブ化していない場合、このドロップダウンリストは表示されません。
      観測事象に関連付けられている値 (IP アドレスやハッシュなど)。
      注:
      IP アドレスまたはハッシュに対する脅威スキャン がマルウェアまたはその他のエラーを返した場合、IP アドレスまたはハッシュの値が観測事象 [sn_ti_observable] テーブルに自動的に追加されます。そのため、[観測事象] フォームから検索できます。
      観測可能タイプ IP アドレスやファイルハッシュなどの観測事象の分類を選択します。これらの観測事象タイプは、[観測事象タイプ] モジュールで定義されます。
      インシデント数 観測事象値が検出された回数。
      構成である このフィールドは、観測事象レコードが保存された後にのみ表示されます。

      [観測事象タイプ][観測事象構成] 以外に設定されていて、この新しい観測事象が構成である場合は、このチェックボックスをオンにします。

      [観測事象タイプ] が既に [観測事象構成] に設定されている場合、このチェックボックスはオンになっていて、読み取り専用になります。

      観測事象構成は、子観測事象を含む観測事象です。
      結果 次のいずれかを選択します。
      • [悪意がある]:観測事象が組織に有害であることを示します。
      • [不審]:観測事象が組織に有害であるおそれがあることを示します。
      • [クリーン]:観測事象が組織に有害でないことを示します。
      • [不明]:観測事象の結果がまだ確定していないことを示します。

      • デフォルト値:[不明]。詳細については、「脅威のルックアップ検索計算ツール」を参照してください。

      注:
      アップグレード後、既存の観測事象は [悪意がある] としてマークされます。
      演算子 このフィールドは、[構成である] チェックボックスがオンの場合にのみ表示されます。このフィールドの設定に応じて、関連するインジケーターが存在するかどうかを決定するときに観測事象とその子が考慮されます。

      関連するインジケーターが存在すると判断されるためにすべての子観測事象が存在する必要がある場合は、このフィールドを [AND] に設定します。

      関連するインジケーターが存在すると判断されるためにいずれかの子観測事象が存在する必要がある場合は、このフィールドを [OR] に設定します。
      存在できない このフィールドは、観測事象レコードが保存された後にのみ表示されます。

      このフィールドを選択した場合、観測事象が存在しないことが潜在的な問題 (レジストリーキーの欠落など) であることを示します。
      ロケーション 2 つのプロパティの設定と 1 つのスクリプトインクルード定義を使用して、このフィールドに IoC データをさらにロードする をロードできます。
      メモ 観測事象に関する追加のメモを入力します。
    6. フォームヘッダーを右クリックし、[保存] をクリックします。
      次の関連リストのいずれかをクリックして、追加情報を表示できるようになりました。
      関連リスト 説明
      関連するインジケーター 脅威のソースによって識別された、インジケーターを一覧表示します。
      関連タスク 観測事象に関連する変更を一覧表示します。
      子観測事象 脅威のソースによって識別された、関連する観測事象を一覧表示します。
      IP の一致リソース 観測事象が IP アドレスの場合、このリストには、一致する IP アドレスを持つすべてのリソース (構成アイテム) が表示されます。
      観測事象ソース この観測事象のタイプを、ソースの信頼性レベルと共に一覧表示します。
      セキュリティ注釈 この観測事象に追加されたセキュリティ注釈を一覧表示します。
    7. セキュリティインシデントに戻ると、次の情報が利用可能です。
      注:
      セキュリティインシデントに観測事象を追加すると、システムによって他の構成アイテムや関連付けられているユーザーがチェックされます。それに応じて、[関連する構成アイテム] および [関連ユーザー] 関連リストのタブが更新されます。
      セキュリティインシデント観測事象の例
      定義
      観測事象 観測事象に関連付けられている値 (IP アドレスやハッシュなど)。
      観測事象タイプ 観測事象の特定のタイプ。
      コンテキスト ユーザーが選択します。選択肢は次のとおりです。
      • IP - [ソース] または [宛先]
        注:
        脅威インテリジェンス および Palo Alto Networks - Firewall がアクティブになっている場合、このフィールドの値を変更または追加すると、ログデータ取得フロー [Security Operations Palo Alto Networks - ログデータの取得 (Security Operations Palo Alto Networks - Get Log Data)] ワークフローが実行されます。ワークフローは、拡張された脅威ログデータをファイアウォールから取得し、セキュリティインシデントに添付します。この情報は解析され、[拡張データ] タブの [ファイアウォールログ] セクションにも表示されます。
      • URL - [リファラー]
        注:
        ユーザーがフィッシングメールのリンクをクリックしたときに、マルウェアの URL にアクセスする直前の移動元の URL がリファラーです。
      インシデント数 この観測事象が表示されるインシデントの数。この値は、観測事象が手動またはワークフローによって別のインシデントに追加されると自動的に更新されます。
      更新日時 リストが最後に更新された日時。
      注:
      脅威インテリジェンス プラグインがインストールされている場合は、[IoC リポジトリ][観測事象] リストでも観測事象を表示できます。