SIR TI から TISC へのデータ移行
TISC のデータ移行ジョブ構成を使用すると、既存の脅威インテリジェンスプラグインデータを TISC プラグインデータに直接移動できます。
始める前に
必要なロール:sn_sec_tisc.admin
このタスクについて
- 選択的レコード移行:選択したテーブルから指定した条件を満たすレコードのみが移行されます。
- リレーションシップを含める:関連レコードは、[ リレーションシップを含める ] チェックボックスがオンになっている場合にのみ移行されます。
- エンティティの移行ステータス:エンティティ (観測事象またはオブジェクト) が移行されると、関連レコードとして移行されない限り、以降の移行には含まれません。
- ケースレコード:デフォルトでは、[ クローズ済みケースを含める] チェックボックスがオンになっていない限り、アクティブなレコードのみが移行されます。
手順
- 移動先 すべて > 脅威インテリジェンスセキュリティセンター > データ移行ジョブの構成.
- [新規] をクリックします。
-
フォームで、必要に応じてフィールドに入力します。
表 : 1. データ移行ジョブの構成 フィールド 説明 名前 データ移行の名前。 テーブル TISC へのレコードの移行元のテーブルを選択します。 移行用の TISC テーブルオプションは次のとおりです。- 観察事項 (sn_ti_observable)
- セキュリティ侵害のインジケーター (sn_ti_indicator)
- セキュリティケース (sn_ti_case)
- STIX V2 オブジェクト (sn_ti_stix2_object) (攻撃パターン、キャンペーン、対処措置などのオプション)
注:- STIX V2 オプションを選択すると、TISC には MITRE ATT&CK を移行するための異なるフレームワークがあるため、MITRE ATT&CK を除くすべての STIX オブジェクトが移行されます。
- セキュリティケースの移行を選択すると、クローズ済みケースは移行されず、アクティブなケースのみが移行されます。
たとえば、[ 観測事象 の移行テーブル] を選択します。
アクティブ データ移行プロセスがアクティブな場合は、このチェックボックスをオンにします。 リレーションシップを含める 脅威インテリジェンスレコードの関係を TISC レコードに移行するには、このチェックボックスをオンにします。 注:このチェックボックスをオンにすると、すべての関連エンティティが観測事象とともに移行されます。このチェックボックスをオフにすると、関連するエンティティなしで単一の観測事象のみが移行されます。クローズ済みケースを含める ケースレコードの移行の一部としてクローズ済みケースを含める場合は、このチェックボックスをオンにします。 セキュリティインシデントに関連付けられた観察事項のみを移行 セキュリティインシデントに関連付けられている観測事象を移行するためのチェックボックスをオンにします。このチェックボックスをオフにすると、セキュリティインシデントとの関連性に関係なく、すべての観測事象が移行されます。 条件 移行するデータをフィルタリングするために使用できる条件を選択するオプション。 追加の構成 信頼性 移行された TISC エンティティ (観測事象、オブジェクト、インジケーター) の信頼度を入力します。 信頼度は 0 から 100 の範囲である必要があります。
有効期限(日数) 移行された TISC エンティティの有効期間。 注:再度フェッチされると、既に TISC に移行されているレコードは無視またはスキップされます。 - [送信] をクリックします。
-
[ 今すぐ実行 ] をクリックして、データ移行を実行します。
データ移行を実行すると、バックグラウンドジョブが実行され、移行ジョブが作成されます。このジョブは移行プロセスを作成し、これらの移行レコードのバッチサイズは 5000 です。
-
[ 移行ジョブの実行 ] セクションで移行ジョブのステータスを確認します。
ジョブステータスがキューに格納され、バッチサイズの上限が 5,000 レコードを超えることはできません。レコードをクリックすると、その特定のエンティティに対して移行されたすべてのオブジェクトが表示されます。
- [ 移行ジョブの実行 ] 関連リストで、移行ジョブのステータスを確認します。
- 処理ステータスを表示するには、レコードをクリックします。
-
移行ジョブ実行レコードの [移行処理キュー レコード] 関連リストセクションでバッチ移行ステータスを確認します。
レコード移行のバッチサイズは 5000 です。
- 移行処理キューレコードのそれぞれの関連リストで、バッチ移行の一部として作成された TISC エンティティを確認します。