インジケーターの定義

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • インジケーターを定義します。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 次のように移動する。 ワークスペース > 脅威インテリジェンスセキュリティセンター > 脅威インテリジェンスライブラリ > インジケーター.
    2. [インジケーター] を選択します。
    3. [新規] をクリックします。
      注:
      観測事象、インジケーター、エンティティ、オブジェクトのオブジェクトレコードを新たに作成するたびに、ソースレコードが作成され、新しいオブジェクトレコードが作成されたことを示すプロンプトメッセージが表示されます。その後、ユーザーは集計レコードにリダイレクトされます。
    4. フォームのフィールドに入力します。
      表 : 1. 詳細セクション
      フィールド 説明
      ID インジケーターの一意の ID。
      説明 インジケーターの説明。
      名前 インジケーターの名前。
      パターン このインジケーターの検出パターンは、STIX パターンとして表すことができます。
      パターンタイプ このインジケーターで使用されるパターン言語。
      パターンバージョン

      パターンプロパティに含まれるパターンデータのタイプと一致する必要がある、パターンプロパティ内のデータに使用されるパターン言語のバージョン。
      有効期間開始日 このインジケーターが、関連する動作または表される動作の有効なインジケーターと見なされる時間。
      有効期限 このインジケーターが、関連するまたは表す動作の有効なインジケーターと見なされなくなるまでの時間。
      IOC 分類 インジケーターの IOC 分類。
      インジケータータイプ インジケーターのさまざまなカテゴリを示します。
      ステータス インジケーターのステータスを示します。
      プラットフォーム このインジケーターが適用されるプラットフォームを定義します。
      TLP TLP に基づくデータの機密性の設定を示す一意の値。
      攻撃フェーズ LM、MITRE ATT&CK などのキルチェーンの攻撃フェーズを表します。
      信頼性 このインジケーターレコードの信頼度を入力します。

      信頼度プロパティは、作成者がデータの正確性に対して持っている信頼性を識別します。信頼度値は 0~100 の範囲にする必要があります。
      脅威レベル インジケーターレコードの脅威レベルを示します。
      有効期限 インジケーターレコードの有効期限を指定します。
      脅威の重大度 インジケーターレコードの脅威の重大度を示します。
      使用率カテゴリ ボットネットやフィッシングなど、観測事象が該当するカテゴリ。
      初回確認日 このインジケーターレコードが悪意のあるアクティビティを実行していることが最初に確認された時間。
      最終確認日 このインジケーターレコードが悪意のあるアクティビティを実行していることが最後に確認された時間。
      ソース このレコードの作成元である脅威のソースを指定します。
      取り消し 取り消されたオブジェクトが、オブジェクト作成者によって有効と見なされなくなったことを示します。
      表 : 2. インサイト
      フィールド 説明
      メモ インジケーターに関するメモを追加します。
      表 : 3. 追加情報
      フィールド 説明
      追加コンテキスト このインジケーターのコンテキストを追加します。
      仕様バージョン このインジケーターを表すために使用される STIX 仕様のバージョン。

      この仕様に従って定義された STIX オブジェクトの場合、このプロパティの値は 2.1 である必要があります。
      言語 このプロパティは、このオブジェクトのテキストコンテンツの言語を識別します。
      作成日時 システムでインジケーターが作成される時刻を指定します。
      更新日時 システムでインジケーターが更新される時刻を指定します。
      拡張 インジケーターの拡張を示します。
      処理ステータス このインジケーターの処理ステータスを表します。
    5. [保存] をクリックします。
      保存すると、「新しい観測事象レコードが作成されました。レコードを編集して新たな関連を作成するには [続行] をクリックしてください」というプロンプトメッセージが表示されます。
    6. [続行] をクリックします。
      重要:
      新しい観測事象レコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。

      観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。

      表 : 4. タグと分類
      フィールド 説明
      Tags
      タグを選択 インジケーターに関連付けられているタグを選択します。
      タグを追加 新しいタグを追加します。
      分類
      分類を選択 インジケーターに関連付けられている分類を選択します。
      分類値を追加 インジケーターに関連付けられている分類値を追加します。
      表 : 5. ソースレコード
      フィールド 説明
      インジケーターのソースレコードの詳細が表示されます (存在する場合)。

    次のタスク

    次の関連リストのいずれかをクリックすると、インジケーターに関連するオブジェクトの追加情報が表示できます。
    表 : 6. 関連レコード
    関連リスト 説明
    インジケーターの参照 このインジケーターを説明する外部参照のリスト。
    観測事象 このインジケーターに関連する関連する観測事象レコードを一覧表示します。
    インジケーター このインジケーターに関連するインジケーターを一覧表示します。
    注:
    このセクションには、2 つのインジケーター間の潜在的な関係も含まれています。詳細については、「インジケーターとインジケーターの潜在リレーションシップを確認する」および「インジケーターとインジケーターの関係を定義する」を参照して、2 つの観測事象間の確認済みの関係を確認してください。
    構成アイテム このインジケーターに関連する構成アイテムを一覧表示します。
    攻撃パターン 攻撃者がこのインジケーターに関連するターゲットを侵害しようとする方法を記述する攻撃パターンソースを一覧表示します。
    キャンペーン このインジケーターに関連する特定の標的に対して時間の経過とともに発生する一連の悪意のあるアクティビティまたは攻撃を記述するキャンペーンソースを一覧表示します。
    検出と軽減 このインジケーターに関連する検出と軽減を一覧表示します。
    ID このインジケーターに関連する ID を一覧表示します。
    インフラストラクチャ このインジケーターに関連する攻撃の何らかの目的をサポートするためのシステム、ソフトウェアサービス、および関連する物理または仮想リソースを記述するインフラストラクチャソースを一覧表示します。
    侵入セット このインジケーターに関連する共通のプロパティを持つ一連の攻撃者の行動とリソースを一覧表示します。
    所在地 オブジェクトに関連付けられた地理的な場所を一覧表示します。
    マルウェア このインジケーターに関連するマルウェアソースレコードを一覧表示します。
    マーキング定義 このオブジェクトに関連付けられたマーキング定義を一覧表示します。
    サイティング このオブジェクトに関連付けられたサイティングソースレコードを一覧表示します。
    攻撃者 観測事象に関連する変更を一覧表示します。
    脅威イベント 脅威のソースによって識別された、関連する観測事象を一覧表示します。
    ツール このオブジェクトに関連付けられているツールを一覧表示します。
    脆弱性 観測事象が IP アドレスの場合、このリストには、一致する IP アドレスを持つすべてのリソース (構成アイテム) が表示されます。
    注:
    1. このオブジェクトに関連付けられた関連レコードをリンクおよびリンク解除できます。詳細については、「脅威インテリジェンス関連レコードへのリンク」を参照してください。
    2. また、[関連レコード] セクションで、[インジケーター] フォームビューにある [潜在リレーションシップ] セクションを使用して、2 つの観測事象間の関係を確認できます。詳細については、「関連レコードから潜在リレーションシップを確認する」を参照してください。
    3. ケースにインジケーターを追加できます。詳細については、「ケースに追加する」を参照してください。