脅威インテリジェンスのセットアップ

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:32分

    • インスタンスで 脅威インテリジェンス を実行する前に、ServiceNow Store からダウンロードする必要があります。プロパティを設定し、脅威のソースを定義することもできます。

    脅威インテリジェンス のインストール

    インスタンスで 脅威インテリジェンス を実行する前に、ServiceNow Store からダウンロードする必要があります。

    始める前に

    インストールの前に、次のセットアップチェックリストを完了します。これらのセットアップタスクは、インストールと構成をスムーズに行うために必要です。
    セットアップタスク 説明

    インスタンスに必要な ServiceNow ロールがあることを確認します。

    		 インストール、構成、および予想される結果の検証には、次のロールが必要です。
    • まだアサインされていない場合、システムアドミニストレーター [admin] は、アプリケーションをインストールし、脅威アドミン [sn_ti.admin] ロールをアサインします。
    • 脅威アドミン [sn_ti.admin] は構成を監視し、期待される結果を検証します。
    必要なロール:admin

    手順

    の指示に従ってください からのアプリケーションのダウンロード ServiceNow Store.

    次のタスク

    脅威インテリジェンス プロパティの設定

    脅威インテリジェンスと一緒にインストールされるコンポーネント

    いくつかのタイプのコンポーネント (テーブル、ユーザーロールなど) が、脅威インテリジェンスプラグインのアクティブ化とともにインストールされます。

    注:
    アプリケーションファイルテーブルには、このアプリケーションとともにインストールされたコンポーネントがリストされています。このテーブルへのアクセス手順については、「アプリケーションとともにインストールされているコンポーネントの検索」を参照してください。

    この機能ではデモデータを利用できます。

    インストールされるロール

    ロール タイトル [名前] 説明 含んでいるロール
    脅威アドミン

    [sn_ti.admin]

    		 すべての脅威プロパティ、SLA、および通知を完全に制御できます。 sn_ti.write
    脅威リーダー

    [sn_ti.read]

    		 脅威情報への読み取りアクセス権があります。 sn.sec_cmn.int_read
    脅威ライター

    [sn_ti.write]

    		 脅威情報への書き込みアクセス権があります。

    攻撃モード、インジケーター、または観測事象は削除できません。脅威アドミンのみが削除できます。
    • sn_sec_cmn.int_write
    • sn_ti.read

    MITRE アナリスト

    [sn_ti.mitre_analyst]

    このロールは、脅威インテリジェンスMITRE-ATT&CK モジュールおよび SIR モジュールへの読み取りアクセスを有効にします。
    • sn_ti.read
    • sn_si.read

    インストールされるテーブル

    テーブル 説明
    攻撃メカニズム

    [sn_ti_attack_mechanism]

    		 脆弱性を悪用するときに頻繁に使用されるメカニズムに基づいて、攻撃パターンを階層的に整理します。このビューのメンバーであるカテゴリは、システムを攻撃するために使用されるさまざまなテクニックを表します。
    攻撃モード/方法

    [sn_ti_attack_mode]

    		 攻撃モードと方法は、サイバー攻撃者の行動を表します。これらは、攻撃者の行動とその方法を詳細なレベルで特徴付けます。
    ディスカバリー方法

    [sn_ti_discovery_method]

    		 インシデントがどのように検出されたかを表す式
    フィード

    [sn_ti_feed]

    		 脅威の概要で脅威フィード (RSS) を構成するために使用されます。
    インジケーター攻撃モード/方法

    [sn_ti_m2m_indicator_attack_mode]

    		 攻撃モード/方法をインジケーターにマッピングするために使用されます。
    セキュリティ侵害のインジケーター

    [sn_ti_indicator]

    		 サイバーセキュリティコンテキスト内で対象となるアーティファクトや動作を表すことを目的とした、特定の観測事象のパターンを伝えるために使用されます。
    セキュリティ侵害のインジケーターのメタデータ

    [sn_ti_indicator_metadata]

    		 TAXII レコードを入力するために使用されます。
    インジケーターソース

    [sn_ti_m2m_indicator_source]

    		 特定のインジケーターをレポートするすべてのソースを収集するために使用されます。
    インジケータータイプ

    [sn_ti_indicator_type]

    		 特定の観測可能な条件を識別するパターンと、そのパターンの意味、いつどのように影響するかなどのコンテキスト情報で構成されるサイバー脅威インジケーターを特徴付けます。
    関連するインジケータータイプ

    [sn_ti_m2m_indicator_indicator_type]

    		 インジケーターを該当するタイプにリンクします。
    インシデント数

    [sn_ti_observable]

    		 観測事象に関連付けられたセキュリティインシデントの数。
    意図した効果

    [sn_ti_intended_effect]

    		 攻撃者の意図した効果を表すために使用されます。
    IP スキャン結果

    [sn_ti_ip_result]

    		 IP ルックアップの結果を表示するために使用されます。
    マルウェアレート制限

    [sn_ti_rate_limit]

    		 ルックアップソースで使用するレート制限を定義します。
    マルウェアスキャン

    [sn_ti_scan]

    		 ルックアップ。ルックアップ対象、ルックアップ対象のソース、およびルックアップ結果の概要が含まれています。
    マルウェアスキャンキューエントリー

    [sn_ti_scan_q_entry]

    		 ルックアップまたは処理のためにキューに格納されるルックアップレコード。指定されたレート制限内で要求を容易にします。
    マルウェアスキャン結果

    [sn_ti_scan_result]

    		 ルックアップの結果を表示します。
    マルウェアスキャナー

    [sn_ti_scanner]

    		 ルックアップの実行に使用するサードパーティのルックアップソースを定義します。
    マルウェアスキャナーレート制限

    [sn_ti_scanner_rate_limit]

    		 ルックアップソースをレート制限に関連付けます。
    マルウェアタイプ

    [sn_ti_malware_type]

    		 マルウェアインスタンスのタイプを表すために使用されます。
    観測事象

    [sn_ti_observable]

    		 STIX の観測事象は、コンピューターとネットワークの運用に関連するステートフルなプロパティまたは測定可能なイベントを表します。
    観測事象コンテキストタイプ

    [sn_ti_observable_context_type]

    		 観測事象のコンテキスト (ソース、IP アドレスなど) を格納します。
    観測事象インジケーター

    [sn_ti_m2m_observable_indicator]

    		 観測事象をインジケーターに関連付けるために使用されます。
    観測事象ソース

    [sn_ti_observable_source]

    		 観測事象を脅威ソースに関連付けるために使用されます。
    観測事象タイプ

    [sn_ti_observable_type]

    		 IP アドレスなどのさまざまなタイプの観測事象を一覧表示します。
    観測事象タイプカテゴリ

    [sn_ti_observable_type_category]

    		 観測事象の最初の分類 (IP アドレスや URL など) を格納します。これは、観測事象のタイプをより正確に決定するために使用されます。
    関連する攻撃モード/方法

    [sn_ti_m2m_attack_mode_attack_mode]

    		 攻撃モードを相互に関連付けるために使用されます。
    関連する観測事象

    [sn_ti_m2m_observables]

    		 観測事象を相互に関連付けるために使用されます。
    スキャンタイプ

    [sn_ti_scan_type]

    		 ファイル、URL、および IP の初期レコードを含むルックアップタイプの定義。
    セキュリティケース

    [sn_ti_case]

    		 ケース管理を使用して作成されたセキュリティケースレコードを保存します。
    セキュリティケース IoC

    [sn_ti_case_ioc]

    		 観測事象とケースの関係を管理するために使用されます。
    セキュリティケース関連タスク

    [sn_ti_m2m_case_task]

    		 タスク (セキュリティインシデント、変更要求など) とセキュリティケースの関係を管理するために使用されます。
    セキュリティケースの関係性の除外

    [sn_ti_case_relationship_exclusion]

    		 セキュリティケースへの関連レコードの包含と除外の定義を提供します。
    サイティング

    [sn_ti_sighting]

    		 サイティング検索要求の実行で使用される、観測事象とサイティング検索の詳細結果の間の m2m リンク。
    サイティング構成アイテム

    [sn_ti_m2m_sighting_ci]

    		 構成アイテムをサイティング検索にマッピングします。
    サイティング検索の詳細

    [sn_ti_sighting_search_detail]

    		 見つかった内部/外部アイテムの数など、サイティング検索の詳細。
    サイティング検索結果

    [sn_ti_sighting_search]

    		 サイティング検索実行のヘッダー。
    サポートされる観測事象タイプ

    [sn_ti_m2m_ind_type_obs_type]

    		 インジケータータイプを有効な観測事象タイプに関連付けます。
    サポートされるスキャンタイプ

    [sn_ti_supported_scan_type]

    		 ルックアップタイプをルックアップソース/ベンダー固有の実装にマッピングします。特定のルックアップソースがタイプをサポートしていることを示します。
    タスク攻撃モード/方法

    [sn_ti_m2m_task_attack_mode]

    		 攻撃モードをタスクに関連付けます。
    タスクインジケーター

    [sn_ti_m2m_task_indicator]

    		 インジケーターをタスクに関連付けます。
    タスク観測事象

    [sn_ti_m2m_task_observable]

    		 観測事象をタスクに関連付けます。
    タスクのサイティング

    [sn_ti_m2m_task_sighting]

    		 サイティングレコードに関連するタスクレコード (セキュリティインシデントおよびケース) を保存します。
    TAXII 収集

    [sn_ti_taxii_collection]

    		 TAXII サーバーによってインポートできるサイバーリスクインテリジェンスフィードを定義します。
    TAXII プロファイル

    [sn_ti_taxii_profile]

    		 サイバーリスクインテリジェンスを共有するためのリポジトリを定義します。TAXII 収集を含みます。
    攻撃者タイプ

    [sn_ti_threat_actor_type]

    		 推定される意図や過去に観察された動作など、サイバー攻撃の脅威を表す悪意のあるアクター (攻撃者) の特性を提供します。
    脅威インテリジェンスソース

    [sn_ti_source]

    		 脅威データをインポートするソースを定義します。
    関連する攻撃の動機

    [sn_ti_stix2_m2m_object_attack_motivation]

    		 STIX オブジェクトに関連付けられたすべての攻撃の動機を収集します。
    関連インフラストラクチャタイプ

    [sn_ti_stix2_m2m_infra_type]

    		 インフラストラクチャをそのタイプとリンクします。
    関連キルチェーンフェーズ

    [sn_ti_stix2_m2m_indicator_kill_chain_phase]

    		 キルチェーンフェーズをインジケーターにリンクします。
    関連キルチェーンフェーズ

    [sn_ti_stix2_m2m_object_kill_chain_phase]

    		 キルチェーンフェーズを STIX オブジェクトにリンクします。
    関連するマルウェア機能

    [sn_ti_stix2_m2m_malware_capability]

    		 マルウェアとその機能をリンクします。
    関連するマルウェアタイプ

    [sn_ti_stix2_m2m_malware_malware_type]

    		 マルウェアとそのタイプをリンクします。
    関連する観測事象

    [sn_ti_stix2_m2m_malware_observable]

    		 マルウェアに関連付けられたすべての観測事象を収集します。
    関連する観測事象

    [sn_ti_stix2_m2m_observed_data_observable]

    		 観測されたデータに関連付けられたすべての観測事象を収集します。
    関連レポートタイプ

    [sn_ti_stix2_m2m_report_report_type]

    		 脅威レポートをそのタイプとリンクします。
    関連する攻撃者ロール

    [sn_ti_stix2_m2m_threat_actor_threat_actor_role]

    		 攻撃者をそのロールにリンクします。
    関連する攻撃者タイプ

    [sn_ti_stix2_m2m_threat_actor_threat_actor_type]

    		 攻撃者をそのタイプにリンクします。
    関連するツールタイプ

    [sn_ti_stix2_m2m_tool_tool_type]

    		 ツールをそのタイプにリンクします。
    攻撃の動機

    [sn_ti_stix2_attack_motivation]

    		 攻撃の動機は、攻撃の強度と永続性を形成します。攻撃者と侵入セットは通常、根底にある感情や状況を反映して行動するため、防御者は攻撃の方法を知ることができます。
    攻撃パターン

    [sn_ti_stix2_attack_pattern]

    		 攻撃者が標的の侵害を試みるのに使用する方法を記述する TTP タイプ。
    キャンペーン

    [sn_ti_stix2_campaign]

    		 攻撃者の行動をグループ化したもの。一連の特定の標的に対して、時間の経過とともに発生する一連の悪意のあるアクティビティまたは攻撃 (波と呼ばれる場合もある) を表します。
    対処措置

    [sn_ti_stix2_course_of_action]

    		 インテリジェンスに対して実行する可能性があるアクションに関する、インテリジェンスのプロデューサーからコンシューマーへの推奨事項。
    外部参照

    [sn_ti_stix2_external_reference]

    		 STIX の外部で示される情報へのポインター。
    ID サイティング

    [sn_ti_stix2_m2m_sighting_identity]

    		 サイティングに関連付けられたすべての ID を収集します。
    ID

    [sn_ti_stix2_identity]

    		 実際の個人、組織、またはグループ (例:ACME, Inc.)、および個人、組織、システム、またはグループのクラス (例:ファイナンスセクター)。
    インジケーターの外部参照

    [sn_ti_stix2_indicator_external_reference]

    		 インジケーターに関連付けられた外部参照を表します。
    インジケーターのサイティング

    [sn_ti_stix2_indicator_sighting]

    		 インジケーターのサイティングを表します。
    インフラストラクチャタイプ

    [sn_ti_stix2_infrastructure_type]

    		 さまざまなインフラストラクチャタイプを表します。
    インフラストラクチャ

    [sn_ti_stix2_infrastructure]

    		 何らかの目的をサポートすることを意図した、すべてのシステム、ソフトウェアサービス、および関連する物理または仮想リソースを記述する TTP タイプ (攻撃の一部として使用される C2 サーバー、防御の一部であるサーバー、またはデバイス、攻撃の標的となるデータベースサーバーなど)。
    インストール済みソフトウェア

    [sn_ti_stix2_m2m_malware_analysis_sw]

    		 マルウェア分析に関連するすべてのソフトウェア (SCO ソフトウェアタイプ) を収集します。
    侵入セット

    [sn_ti_stix2_intrusion_set]

    		 単一の組織によってオーケストレーションされていると考えられている、共通のプロパティを持つ攻撃者の一連の行動およびリソースをグループ化したもの。
    キルチェーンフェーズ

    [sn_ti_stix2_kill_chain_phase]

    		 キルチェーンに関連付けられたキルチェーンフェーズを表します。
    キルチェーン

    [sn_ti_stix2_kill_chain]

    		 さまざまなキルチェーンを表します。
    ロケーション

    [sn_ti_stix2_location]

    		 STIX を介して提供される地理的な場所を表します。
    マルウェア分析

    [sn_ti_stix2_malware_analysis]

    		 マルウェアのインスタンスまたはファミリで実行された特定の静的または動的分析のメタデータと結果。
    マルウェア機能

    [sn_ti_stix2_malware_capability]

    		 マルウェアファミリまたはインスタンスが示す一般的な機能を表します。
    マルウェアオペレーティングシステム

    [sn_ti_stix2_m2m_malware_operating_system]

    		 マルウェアに関連するすべてのオペレーティングシステム (SCO ソフトウェアタイプ) を収集します。
    マルウェア

    [sn_ti_stix2_malware]

    		 悪意のあるコードを表す TTP のタイプ。
    マーキング定義

    [sn_ti_stix2_marking_definition]

    		 STIX オブジェクトの処理または共有の要件を表します。
    オブジェクトのサイティング

    [sn_ti_stix2_object_sighting]

    		 STIX オブジェクトのサイティングを表します。
    オブジェクトとインジケーターの関係

    [sn_ti_stix2_m2m_object_indicator]

    		 STIX オブジェクトと STIX インジケーター間のすべての関係を収集します。
    オブジェクトとオブジェクトの関係

    [sn_ti_stix2_m2m_object]

    		 STIX オブジェクトと他の STIX オブジェクト (インジケーターを除く) 間のすべての関係を収集します。
    オブジェクトと観測事象の関係

    [sn_ti_stix2_m2m_object_observable]

    		 STIX 観測事象と STIX オブジェクト間のすべての関係を収集します。
    観測されたデータのサイティング

    [sn_ti_stix2_m2m_sighting_observed_data]

    		 サイティングに関連付けられたすべての観測データオブジェクトを収集します。
    観測データ

    [sn_ti_stix2_observed_data]

    		 STIX サイバー観測可能オブジェクト (SCO) を使用して、ファイル、システム、ネットワークなどのサイバーセキュリティ関連エンティティに関する情報を提供します。
    レポートタイプ

    [sn_ti_stix2_report_type]

    		 脅威レポートの主な目的または対象を表します。
    報告された観測事象

    [sn_ti_stix2_m2m_malware_analysis_observable]

    		 マルウェア分析に関連付けられたすべての観測事象を収集します。
    STIX V2 オブジェクト

    [sn_ti_stix2_object]

    		 STIX オブジェクトの共通の親テーブル。
    STIX V2 サイティング

    [sn_ti_stix2_sighting]

    		 STIX サイティングテーブルの共通の親テーブル。
    攻撃者ロール

    [sn_ti_stix2_threat_actor_role]

    		 攻撃者が実行できるロールを表します。
    攻撃者

    [sn_ti_stix2_threat_actor]

    		 攻撃者は、悪意を持って行動すると考えられている個人、グループ、または組織です。
    脅威グループ化

    [sn_ti_stix2_threat_grouping]

    		 共通のコンテキストを共有するすべての STIX オブジェクトをグループ化します。
    脅威メモ

    [sn_ti_stix2_threat_note]

    		 対応する STIX オブジェクトに含まれていないコンテキストと追加の分析を提供します。
    脅威に関する意見

    [sn_ti_stix2_threat_opinion]

    		 別のエンティティによって生成された STIX オブジェクト内の情報の正確性を評価します。
    脅威レポート

    [sn_ti_stix2_threat_report]

    		 レポートは、攻撃者、マルウェア、または攻撃テクニックの説明 (コンテキストおよび関連する詳細を含む) など、1 つ以上のトピックに焦点を当てた脅威インテリジェンスのコレクションです。これらは、包括的なサイバー脅威ストーリーとして公開できるように、関連する脅威インテリジェンスをグループ化するために使用されます。
    ツールタイプ

    [sn_ti_stix2_tool_type]

    		 攻撃を実行するために使用できるツールのカテゴリ。
    ツール

    [sn_ti_stix2_tool]

    		 ツールは、攻撃者が攻撃を実行するために使用する正当なソフトウェアです。
    脆弱性

    [sn_ti_stix2_vulnerability]

    		 ソフトウェアおよび一部のハードウェアコンポーネント (例:ファームウェア) に含まれる計算ロジック (例:コード) の要件、設計、または実装の脆弱性または欠陥を表します。これらは、そのシステムの機密性、完全性、または可用性に悪影響を及ぼすために直接悪用されます。

    脅威インテリジェンス プロパティの設定

    脅威インテリジェンス プロパティを使用すると、API キーの設定など、システム機能のさまざまな側面を制御できます。

    始める前に

    必要なロール:sn_ti.admin

    手順

    1. 移動先 すべて > 脅威インテリジェンス > アドミニストレーション > プロパティ.
    2. 必要に応じて、次のプロパティを設定します。
      表 : 1. 脅威インテリジェンスのプロパティ
      プロパティ 説明
      IP アドレス/URL の追加情報を取得するためのドメイン名

      sn_ti.ip_lookup.web_site

      IoC データベースに追加情報を取得するために使用するドメイン名。このプロパティは、[観測事象] フォームに追加情報を入力するために ThreatAdditionalInfo スクリプトインクルードによって使用されます。

      デフォルト値:http://api.ipinfodb.com/v3/ip-country/

      注:
      サードパーティ API の pinfodb.com は追加料金なしで利用できるため、多くの商用ソフトウェアプログラムで使用されています。別のドメイン名に置き換える場合は、次のフィールドにも API キーを入力する必要があります。
      ドメインに使用される API キー (存在する場合)

      sn_ti.ip_lookup.api_key

      追加情報を IoC データベースに取得するために使用する API キー。このプロパティは、[観測事象] フォームに追加情報を入力するために ThreatAdditionalInfo スクリプトインクルードによって (sn_ti.ip_lookup.web_site プロパティとともに) 使用されます。
      観測事象が IoC に関連付けられている場合、または悪意があると判断された場合は、その観測事象で自動脅威ルックアップを実行しない。

      sn_ti.scan_ioc_before_sending

      注:
      次のプロパティ (sn_ti.scan_ioc_num_days) で期間を定義する必要があります。

      構成された期間 (日数) 中に観測事象が IoC に関連付けられている場合、または悪意があると判断された場合は、その観測事象で自動脅威ルックアップを実行しないオプション。観測事象に対して脅威ルックアップの検索を実行する必要がある場合は、手動で実行できます。

      デフォルト値:はい
      期間 (日数)

      sn_ti.scan_ioc_num_days

      観測事象の自動脅威ルックアップをスキップする期間を定義するオプション。

      デフォルト値 (日数):30
      既に実行されている観測事象では、自動脅威ルックアップを実行しない。

      sn_ti.enable_threat_lookup_bypass

      注:
      次のプロパティ (sn_ti.threat_lookup_bypass_times) で期間を定義する必要があります。

      観測事象の脅威のルックアップ結果が既に存在する場合は、構成した時間が経過するまで、同じ観測事象の自動脅威ルックアップの再実行をスキップするオプションがあります。

      デフォルト値:いいえ
      注:
      このプロパティを有効にする場合は、適切な値を追加していることを確認してください。
      期間 (分)

      sn_ti.threat_lookup_bypass_time

      観測事象の自動脅威ルックアップを再実行できる期間を定義するオプション。

      デフォルト値 (分):0
      観測事象結果に対するユーザーの上書きの有効期間を設定します。

      sn_ti.enable_observable_finding_system_override

      注:
      次のプロパティ (sn_ti.observable_finding_override_expiry) で有効性を定義する必要があります。
      		 観測事象結果に対するユーザーの上書きの有効期間を設定するオプション。観測事象の脅威ルックアップの結果は、この有効期間中はベースシステムによって変更されません。
      デフォルト値:いいえ
      注:
      このプロパティを有効にする場合は、適切な値を追加していることを確認してください。
      有効性 (分)

      sn_ti.observable_finding_override_expiry

      		 観測事象結果の有効期間を定義するオプション。

      デフォルト値 (分):なし
      指定された日数の間、どのソースからも受けていない攻撃モード/方法は非アクティブとしてマークします

      sn_ti.attack_mode_inactivate_days

      攻撃モード/方法を最後に受信してから、レコードが非アクティブとマークされるまでの日数。

      デフォルト値:360

      注:
      [アクティブ] チェックボックスは、デフォルトでは [攻撃モード/方法] フォームに表示されません。ただし、追加することはできます。攻撃モード/方法が非アクティブの場合、他のフォームでは選択できません。
      指定された日数の間どのソースからも受け取っていないインジケーターを非アクティブとしてマークします

      sn_ti.indicator_inactivate_days

      インジケーターを最後に受信してから、レコードが非アクティブとマークされるまでの日数。

      デフォルト値:180

      注:
      [アクティブ] チェックボックスは、デフォルトでは [インジケーター] フォームに表示されません。ただし、追加することはできます。インジケーターが非アクティブの場合、他のフォームでは選択できません。
      解析可能な STIX 添付ファイルの最大ペイロードサイズ (MB)

      sn_ti.stix.max_payload_size

      解析できる STIX 添付ファイルの最大ペイロード サイズを指定します。

      デフォルト値:なし

      最大許容値:制限なし
      送信 HTTP 接続で TAXII 収集データをフェッチするまでの最大待機時間 (秒)

      sn_ti.taxii.http.max_timeout

      TAXII 収集データの次のパケットをフェッチするまでに送信 HTTP 接続が待機する最大時間を指定します。

      デフォルト値:300
      TAXII サーバーから 1 回の REST コールで取得されるオブジェクトの最大数 (TAXII バージョン 2.0 および 2.1 にのみ適用)

      sn_ti.taxii.max_page_size

      1 ページで TAXII サーバーから 1 回の REST 呼び出しで取得されるオブジェクトの最大数を指定します。

      デフォルト値:5000

      最大許容値:50000
      TAXII2. X REST 呼び出しの試行失敗の最大回数

      sn_ti.taxii2.retry_count

      TAXII REST 呼び出しの試行失敗の最大回数を指定します。

      デフォルト値:3
    3. [保存] をクリックします。

    脅威のソースを定義する

    脅威インテリジェンス の脅威ソースのリストを管理できます。各ソースには、ソースをクエリする頻度を定義する機能があります。また、脅威ソースをオンデマンドで実行して、必要な脅威情報構造化記述形式 (Structured Threat Information eXpression) (STIX) データをインポートすることもできます。

    始める前に

    必要なロール:sn_ti.admin

    このタスクについて

    脅威インテリジェンス は、脅威関連情報をインポートするために、STIX と検知指標情報自動交換手順 (Trusted Automated Exchange of Indicator InformationTrusted) (TAXII) の 2 つのテクノロジーを採用しています。

    STIX は、セキュリティ侵害のインジケーター (IoC) アクティビティ (IP アドレスやファイルハッシュなど) を含む広範囲のサイバー脅威情報や、攻撃モード/方法などの脅威に関するコンテキスト情報を表すための標準化された構造化言語を提供し、これらの情報はサイバー攻撃者の動機、能力、およびアクティビティをより完全に特徴付けることができます。このように、STIX データは、サイバー脅威から組織を守るための最善の方法に関する貴重な情報を提供するものです。

    検知指標情報自動交換手順 (Trusted Automated Exchange of Indicator InformationTrusted) (TAXII) は、サイバー脅威情報の自動交換を促進するために使用されます。TAXII は、サイバー脅威の検出、予防、緩和のために、組織や製品/サービスの境界を超えて実用的なサイバー脅威情報を共有できるようにする一連のサービスとメッセージ交換を定義しています。TAXII プロファイルは、STIX 形式の情報を共有するためのリポジトリとして設定できます。各プロファイルには、1 つ以上の TAXII 収集またはフィードが含まれています。

    手順

    1. 移動先 すべて > 脅威インテリジェンス > ソース > 脅威のソース.
    2. [New] をクリックします。
    3. 必要に応じて、フォームのフィールドに入力します。
      フィールド 説明
      名前 脅威ソースの名前。
      アプリケーション このレコードを含んでいるアプリケーション。
      有効 脅威ソースをアクティブ化するには、チェックボックスをオンにします。
      詳細 [統合ファクトリスクリプト] および [プロセッサをレポート] フィールドにスクリプトを表示するには、このチェックボックスをオンにします。
      説明 脅威ソースの説明
    4. 必要に応じて、[スケジュール] セクションのフィールドに入力します。
      フィールド 説明
      実行 統合を実行する頻度、[日次 (Daily)]、[週次 (Weekly)]、[定期的 (Periodically)] など。前述のとおり、このフィールドの設定に基づいて後続のフィールドが表示されます。
      曜日 統合を実行する日。
      • [実行] フィールドで [週次 (Weekly)] を選択した場合、このフィールドには曜日が表示されます。
      • [実行] フィールドで [月次 (Monthly)] を選択した場合、このフィールドには月日が表示されます。
      時刻 統合を開始する時刻。
      繰り返し間隔 [実行] フィールドで [定期的 (Periodically)] を選択した場合、このフィールドには統合が再度実行されるまでの日数と時間が表示されます。
      開始中 [実行] フィールドで [定期的 (Periodically)] を選択した場合、このフィールドには定期的な更新の起点として使用される日付と時刻が表示されます。
      条件付き 条件付きパラメーターを追加する場合は、このフィールドを選択します。
      条件 [条件付き (Conditional)] チェックボックスをオンにした場合は、ここに条件を入力します。
    5. 必要に応じて、[脅威の詳細] セクションのフィールドに入力します。
      フィールド 説明
      インジケーター データに明示的にインジケーターが指定されていない場合に使用するインジケーター。ブロックリストが空の場合、観測事象ごとに新しいインジケーターが作成されます。
      インジケータータイプ 作成されたが、データに明示的にインジケータータイプが指定されていないインジケーターに使用するインジケータータイプ。
      攻撃モード/方法 データに明示的に攻撃モード/方法が指定されていない場合に使用する攻撃モード/方法。
      観測事象タイプ 作成されたが、データに明示的に観測事象タイプが指定されていない観測事象に使用する観測事象タイプ。[SI1]
      重み付け 信頼性の計算で使用するこのソースの重み付け値を入力します。
      注:
      [インジケーター][インジケータータイプ][攻撃モード/方法]、および [観測可能タイプ] の各フィールドの使用方法は実装に固有のものです。デフォルトのプロセッサ SimpleBlocklistProcessor は、ツールヒントに記載されているとおりに動作します。ただし、TAXII の脅威ソースは完全にデータ駆動型です。カスタムの脅威ソースプロセッサであれば、独自の戦略を使用できます。これらのフィールドは基本的に統合/プロセッサに公開するアイテムであり、実装によってその使用方法が決まります。
    6. 必要に応じて、[ソースの詳細] セクションのフィールドに入力します。
      フィールド 説明
      エンドポイント 脅威インテリジェンス が脅威ソースにアクセスする Web サービスのエンドポイント URL を入力します。ロックアイコンをクリックして URL をロックします。
      REST メッセージを使用 脅威ソースにアクセスするために REST メッセージが必要な場合は、このチェックボックスをオンにします。[REST メッセージ ] フィールドと [REST メソッド] フィールドが必須になります。
      REST メッセージ ルックアップアイコンをクリックし、リストから REST メッセージを選択するか、[新規] をクリックして新しい REST メッセージを定義します
      REST メソッド ルックアップアイコンをクリックし、リストから REST メッセージを選択するか、[新規] をクリックして新しい REST メソッドを定義します。
      統合スクリプト デフォルトの統合スクリプトは、[SimpleRESTSecurityDataIntegration] です。簡単な REST コールを実行し、応答を添付ファイルとして保存してから、添付ファイルをプロセッサに返します。このスクリプトは、ほとんどの組織のニーズに対応しています。必要に応じて、ルックアップアイコンをクリックして、別の統合スクリプトを選択するか、新しい統合スクリプトを定義できます。
      統合ファクトリスクリプト [詳細 (Advanced)] チェックボックスをオンにすると、このフィールドには統合スクリプトをビルドするための実際のスクリプトが表示されます。必要に応じてスクリプトを編集できます。この機能はカスタム実装の場合に便利です。通常、ベースシステムの統合では、カスタムコンストラクタロジックは必要ありません。
      プロセッサをレポート デフォルトの統合スクリプトは、[SimpleBlocklistProcessor] です。このスクリプトは、シンプルなブロックリスト (URL や IP アドレスなどの観測事象を含む 1 列のドキュメント) を受け取り、観測事象を作成するシンプルなプロセッサです。さまざまな [脅威の詳細] フィールドを使用して、観測事象の作成時に設定するフィールドを決定します。
      プロセッサ生成スクリプト [詳細 (Advanced)] チェックボックスをオンにすると、このフィールドにはプロセッサをビルドするための実際のスクリプトが表示されます。必要に応じてスクリプトを編集できます。一般的に、このスクリプトはカスタム実装の場合に便利です。通常、ベースシステムの統合では、カスタムコンストラクタロジックは必要ありません。
    7. [Submit] をクリックします。
      注:
      脅威ソースのページネーションを設定する方法の詳細については、『KB1213825』の記事を参照してください。

    TAXII プロファイルを作成する

    STIX 形式の情報を共有するために、TAXII プロファイルを管理できます。各プロファイルには、1 つ以上の TAXII 収集またはフィードが含まれています。

    始める前に

    必要なロール:sn_ti.admin

    手順

    1. 移動先 すべて > 脅威インテリジェンス > ソース > TAXII プロファイル.
    2. [New] をクリックします。
    3. 必要に応じて次のフィールドに入力します。
      フィールド説明
      名前 TAXII プロファイルの名前
      アプリケーション このレコードを含んでいるアプリケーション。
      テンプレートとして REST メッセージを使用 TAXII プロファイルにアクセスするために REST メッセージが必要な場合は、このチェックボックスをオンにします。
      TAXII バージョン TAXII バージョンを指定します。STIX バージョン 1.1、2.0、および 2.1 をサポートしています。
      説明 TAXII プロファイルの説明です。
    4. 必要に応じて、[ディスカバリーサービス構成] セクションのフィールドに入力します。
      フィールド説明
      ディスカバリーサービスエンドポイント ディスカバリーエンドポイントは、クライアントが TAXII サーバーに関する情報を取得し、API ルートのリストを取得することを許可します。
      REST メッセージを使用 TAXII プロファイルにアクセスするために REST メッセージが必要な場合は、このオプションを選択します。[ディスカバリーサービス REST メッセージ ] フィールドと [ディスカバリーサービス REST メソッド] フィールドが必須になります。
      ディスカバリーサービス REST メッセージ ルックアップアイコンをクリックし、リストから REST メッセージを選択するか、[新規] をクリックして新しい REST メッセージを定義します。
      ディスカバリーサービス REST メソッド ルックアップアイコンをクリックし、リストから REST メッセージを選択するか、[新規] をクリックして新しい REST メソッドを定義します。
    5. 必要に応じて、[コレクションサービス構成] セクションのフィールドに入力します。
      フィールド説明
      コレクション情報サービスエンドポイント TAXII 収集は、TAXII サーバーによって提供される CTI オブジェクトの論理リポジトリへのインターフェイスであり、TAXII クライアントが TAXII サーバーに情報を送信したり、TAXII サーバーに情報を要求したりするために使用します。

      TAXII サーバーは API ルートごとに複数のコレクションをホストすることができ、コレクションは要求/応答方式で情報を交換するために使用されます。
      REST メッセージを使用 TAXII プロファイルにアクセスするために REST メッセージが必要な場合は、このオプションを選択します。[コレクション情報サービス REST メッセージ ] フィールドと [コレクション情報サービス REST メソッド] フィールドが必須になります。
      コレクション情報サービス REST メッセージ ルックアップアイコンをクリックし、リストから REST メッセージを選択するか、[新規] をクリックして新しい REST メッセージを定義します。
      コレクション情報サービス REST メソッド ルックアップアイコンをクリックし、リストから REST メッセージを選択するか、[新規] をクリックして新しい REST メソッドを定義します。
    6. [Submit] をクリックします。