侵入セットの定義

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • 共通のプロパティを持つ攻撃者の行動とリソースのグループ化されたセットである侵入セットを定義します。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 次のように移動する。 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. ワークスペースの [脅威インテリジェンスライブラリ (Threat Intel Library)] アイコンをクリックします。
    3. 侵入セットに移動します。
    4. [新規] をクリックします。
      注:
      観測事象、インジケーター、エンティティ、オブジェクトのオブジェクトレコードを新たに作成するたびに、ソースレコードが作成され、新しいオブジェクトレコードが作成されたことを示すプロンプトメッセージが表示されます。その後、ユーザーは集計レコードにリダイレクトされます。
    5. フォームのフィールドに入力します。
      表 : 1. [侵入セットの詳細] ビュー
      フィールド 説明
      ID 侵入セットの一意の ID。
      名前 この侵入セットのわかりやすい名前を入力します。

      特定のエンティティ (個人または組織) を参照する場合、このプロパティには特定のエンティティの正規名を含める必要があります。
      説明 侵入セットに関する詳細とコンテキストの説明 (目的や主要な特性を含む可能性があります)。
      別名 この侵入セットを識別する代替名。
      注:
      アプリケーションに存在しない新しいエイリアスを追加するには、[エイリアス] フィールド自体で使用できる [ 新しいエイリアスを追加 ] アイコンをクリックします。
      Goals (最終目標) この侵入セットの高レベルの目標 (何をしようとしているのか)。

      たとえば、個人的な利益が動機の場合もありますが、その目的はクレジットカード番号を盗むことです。これを行うには、大規模な小売業の POS システムの侵害などの詳細な目標を含む特定のキャンペーンを実行します。
      初回確認日 この侵入セットが悪意のあるアクティビティを実行していることが最初に確認された時間。
      最終確認日 この侵入セットが悪意のあるアクティビティを実行していることが最後に確認された時間。
      プライマリ動機 この侵入セットの背後にある主な理由、動機、または目的。動機は、侵入セットが目標 (達成しようとしていること) を達成したい理由です。
      セカンダリ動機 この侵入セットの背後にある副次的な理由、動機、目的。これらの動機は、主要な動機と同等またはほぼ等しい原因として存在できます。ただし、主要な動機に取って代わったり、必ずしも拡大したりするわけではありませんが、追加のコンテキストを示している可能性があります。リスト内の位置は重要ではありません。
      リソースレベル このプロパティは、この侵入セットが通常機能する組織レベルを指定します。これにより、この侵入セットに対して攻撃中に使用できるリソースが決まります。
      TLP TLP は、機密情報が適切な対象者と共有されるようにするために使用されるものです。4 つの色 (白、緑、オレンジ、赤) を使用して、さまざまな感度を示します。
      信頼性 この侵入セットの信頼度を入力します。
      ソース このオブジェクトレコードの作成元である脅威のソースを指定します。
      取り消し 取り消されたオブジェクトが、オブジェクト作成者によって有効と見なされなくなったことを示します。
      表 : 2. インサイト
      フィールド 説明
      メモ この侵入セットに関するメモを追加します。
      表 : 3. 追加情報
      フィールド 説明
      追加コンテキスト この侵入セットのコンテキストを追加します。
      仕様バージョン このオブジェクトを表すために使用される STIX 仕様のバージョン。

      この仕様に従って定義された STIX オブジェクトの場合、このプロパティの値は 2.1 である必要があります。
      言語 このプロパティは、このオブジェクトのテキストコンテンツの言語を識別します。
      ソースでの作成時間 ソースでレコードが作成される時刻を指定します。
      拡張 攻撃パターンの拡張を示します。
      ソースでの変更時間 ソースでオブジェクトが変更された時刻を指定します。
      処理ステータス このオブジェクト (対処措置) の処理ステータスを表します。
      作成日時 ソースでレコードが作成される時刻を指定します。
      更新日時 ソースでレコードが変更される時刻を指定します。
      作成者参照 このプロパティは、エンティティを記述する ID オブジェクトがこのオブジェクトを作成したことを示します。
    6. [保存] をクリックします。
      保存すると、「新しい観測事象レコードが作成されました。レコードを編集して新たな関連を作成するには [続行] をクリックしてください」というプロンプトメッセージが表示されます。
    7. [続行] をクリックします。
      重要:
      新しい観測事象レコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。

      観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。

      表 : 4. タグと分類
      フィールド 説明
      Tags
      タグを選択 侵入セットに関連付けられているタグを選択します。
      タグを追加 新しいタグを追加します。
      分類
      分類を選択 この侵入セットに関連付けられている分類を選択します。
      分類値を追加 この侵入セットに関連付けられている分類値を追加します。

    次のタスク

    次の関連リストのいずれかをクリックすると、侵入セットに関連するオブジェクトの追加情報が表示されます。
    表 : 5. 関連レコード
    フィールド 説明
    外部参照 STIX 以外の情報を参照する外部参照を一覧表示します。このプロパティは、1 つ以上の外部オブジェクト識別子を指定するために使用されます。
    攻撃パターン このオブジェクトに関連付けられた攻撃を分類するのに役立つ攻撃パターンを一覧表示します。
    キャンペーン このオブジェクトに関連付けられたキャンペーンを一覧表示します。
    ID このオブジェクトに関連付けられた ID のリスト。
    インジケーター このオブジェクトに関連付けられた脅威ソースによって特定された、関連するセキュリティ侵害のインジケーター (IoC) を一覧表示します。
    インフラストラクチャ このオブジェクトに関連付けられているシステム、ソフトウェア サービス、および関連する物理リソースまたは仮想リソースを一覧表示します。
    所在地 このオブジェクトに地理的コンテキストを提供する場所を一覧表示します。
    マルウェア このオブジェクトに関連付けられた悪意のあるコードを一覧表示します。
    マーケティング定義 このオブジェクトに関連付けられたマーケティング定義を一覧表示します。
    サイティング このオブジェクトに関連付けられたサイティングを一覧表示します。
    攻撃者 このオブジェクトに関連付けられている、悪意を持って行動する個人、グループ、または組織を一覧表示します。
    ツール このオブジェクトに関連付けられている、攻撃者が攻撃を実行するために使用する正当なソフトウェアを一覧表示します。
    脆弱性 このオブジェクトに関連付けられている、攻撃者が悪用するソフトウェアまたはハードウェアの脆弱性または欠陥を一覧表示します。
    注:
    1. このオブジェクトに関連付けられた関連レコードをリンクおよびリンク解除できます。詳細については、「脅威インテリジェンス関連レコードへのリンク」を参照してください。
    2. TI ライブラリ内のさまざまな SDO には、潜在的な関係も含まれています。任意の 2 つのオブジェクト間の関係を確立するには、脅威インテリジェンスライブラリ[潜在リレーションシップ] リンクを使用してオブジェクト間の関係を確定します。詳細については、「オブジェクトとオブジェクトの潜在リレーションシップを確認する」を参照してください。
    3. また、オブジェクトフォームビューの [関連レコード] セクションを使用し、フォームビューで使用可能な [潜在リレーションシップ] セクションを使用して、2 つのオブジェクト間の関係を確認します。詳細については、「関連レコードから潜在リレーションシップを確認する」を参照してください。
    4. ケースにオブジェクトを追加できます。詳細については、「ケースに追加する」を参照してください。