例 3:特定の実行時間の詳細の入力を実装 [他のアクションを実行] に追加する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • 特定の実行時間の詳細の入力を実装 [他のアクションを実行] に追加します。

    SIR ワークスペース[調査] タブを使用して、[他のアクションを実行] 関連の統合機能アクションを実行できます。

    1. [調査] タブで、ページの左側に表示される [エントリーポイントリスト (Entry Points Lists)] セクションに移動します。
    2. 各エントリーポイントを選択し、統合機能アクションを実行します。
      注:
      ワークスペースの [関連レコード] タブに移動して、統合機能アクションを実行することもできます。

    実装への特定の入力の追加

    必要に応じて、選択した各実装に特定の実行時間入力を追加します。

    始める前に

    必要なロール:sn_si.analyst

    利用可能な実装が一覧表示されます。実装を選択します。選択すると、選択した各実装に対してサポートされているレコードのみが送信されます。

    手順

    1. 移動先 ワークスペース > セキュリティインシデントレスポンスワークスペース.
    2. 任意のセキュリティインシデントを開きます。
    3. ワークスペースの [調査] タブに移動します。
      エントリーポイントリストを含む [調査] タブが表示されます。
      [調査] タブ。
    4. エントリーポイントリストから構成アイテムを選択します。
      たとえば、[構成アイテム] エントリーポイントリストを選択します。対応する構成アイテムレコードが表示されます。
      図 : 1. 構成アイテムの選択
      構成アイテムを選択します。
    5. 任意の構成アイテムを選択します。
    6. ページの上部に表示される関連リストドロップダウンに移動します。
      セキュリティインシデント構成アイテム (CI) の場合、ドロップダウンリストには次の機能アクションのリストが含まれています。リストされている CI アクションは結果を収集し、セキュリティインシデントの拡張データとして保存します。
      • ファイルを取得:この機能は、特定のハッシュ値またはファイル名を持つファイルを取得するアクションを実行します。
      • ホストを隔離:この機能は、他のデバイスへのシステム接続を制限します。
      • ホストの詳細を取得:この機能は、ホストの詳細、ログインしているユーザーの詳細、およびその他の拡張機能を取得します。
      • 他のアクションを実行:この機能は、標準アクション以外のアクションを追加で実行します。
      • ネットワーク統計情報を取得:この機能は、影響を受けるリソースのネットワーク統計情報を取得します。
      • 実行中のプロセスを取得:この機能は、ホストから構成アイテム (CI) で実行中のプロセスのリストを取得します。
      • ログオンユーザーを取得:ログオンユーザーのデータを収集し、セキュリティインシデントに関連付けます。
    7. [他のアクションを実行] を選択して、脅威インテリジェンス関連の統合機能アクションを実行します。
      [他のアクションを実行] の [実装] モーダルダイアログボックスが表示されます。
    8. リストから実装を 1 つ以上選択します。
      他のアクションを実行
    9. [Next] をクリックします。
      次のステップに移動して、実行時間の詳細を追加します。
    10. アクションに関連付けるコメントを入力します。
    11. [送信] をクリックします。
      送信されたレコードとアクティビティストリームの作業メモ。
      選択したレコードが送信されると、[他のアクション] 要求が実行されていることを示すメッセージが表示されます。また、それぞれの実装アクションの進行状況が [アクティビティ] セクションに表示されます。
    12. [EDR] 関連リストセクションの結果を表示します。