調査キャンバスの詳細

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • 調査キャンバスの主な目的は、必要なセキュリティインシデントデータを 1 つの共通の場所に表示することです。

    SIR ワークスペース 内では、セキュリティインシデントの調査は主にいくつかの重要なエントリーポイントを中心に展開されます。

    ベースシステム内でセキュリティアナリスト向けにプロビジョニングされる主要なエントリーポイントは次のとおりです。
    • 関連する観測事象
    • 構成アイテム ID
    • 影響を受けるユーザー
    • 関連フィッシングメール
    • メールの検索

    必要に応じてエントリーポイントを追加、変更、または削除することで、上記のエントリーポイントを設定することもできます。詳細については、「SI 設計時調査の設定」を参照してください。

    [調査] タブでは、エントリーポイントテーブルが親テーブルとして機能します。親テーブルで実行されたオーケストレーションアクションの結果を保持するすべてのテーブルは、エントリーポイント内の子テーブルとして表示されます。

    たとえば、[関連する観測事象] エントリーポイントの場合、[関連する観測事象] テーブルが親テーブルで、[脅威のルックアップの結果]、[サンドボックスの送信結果] などの他のテーブルが子テーブルです。

    セキュリティアナリストは、[関連する観測事象] テーブルですべてのオーケストレーションアクションを実行でき、複数の場所を移動しなくても同じページ内ですべての関連情報を表示できます。

    注:
    ユーザーが [概要] ページで悪意のある観測事象などのインタラクティブなチャートをクリックすると、調査キャンバス内の悪意のある観測事象のフィルター済みビューに移動します。または、すべてのデータがある調査キャンバスに移動して、調査を直接開始することもできます。

    エントリーポイントの子テーブルのリストも構成可能です。詳細については、「SI 設計時調査の設定」を参照してください。

    ベースシステム内で構成およびプロビジョニングされたエントリーポイント (関連する観測事象) の詳細な例を次に示します。
    1. ドロップダウンリストから [関連する観測事象] エントリーポイントを選択します。

      ここでは、親テーブルも [関連する観測事象] です。

      図 : 1. エントリーポイントリスト構成
      エントリポイント
    2. 親テーブルから 1 つ以上の観測事象を選択します。
    3. 目的の機能を実行します。

      たとえば、[脅威のルックアップを実行] を選択して、選択した観測事象の脅威のルックアップの結果をフェッチします。

      注:
      対応する観測事象アクションが実行されると、プロセスがバックエンドで実行され、結果が [観測事象] リストの下に表示されます。
    4. [関連情報を表示] をクリックして、観測事象の結果を表示します。結果は同じページに表示されます。
      注:
      結果別のフィルターを使用して結果を表示するには、[すべての結果] または [最新の結果] のいずれか適切なビューを選択します。デフォルトでは、最新の結果が表示されます。(統合の) 実装が複数ある場合は、実装ごとの最新の結果が表示されます。

      さらに、子テーブルの結果である [関連する関連リスト別 (by associated related lists)] で結果をフィルタリングできます。デフォルトでは、構成されたすべての子テーブル関連リストが表示されます。詳細については、「SI 設計時調査の設定」を参照してください。ただし、必要な子テーブルのみを選択することもできます。

      関連情報を表示します。

    5. [関連情報を表示] をクリックすると、関連するすべての子テーブルデータを 1 つの場所で表示でき、[ビューを閉じる] ボタンを選択することで関連リストビューを閉じることができます。ビューを閉じると、前と同じように観測事象の親テーブルのみが表示されます。
    6. [利用可能な関連情報を表示しています] 結果テーブル内の [すべて展開] 上方向アイコンをクリックして、すべての関連リストの子テーブルデータを展開します。

      すべてのオプションビューを展開します。

    7. 下向き矢印の [すべて折りたたむ] アイコンをクリックすると、関連リストの子テーブルデータがすべて折りたたまれます。
      注:
      すべての子テーブルデータを含む関連情報セクションの上部にあるバナーには、ユーザーに表示されている観測可能な関連情報の数が表示されます。たとえば、最初に 2 つの観測事象を選択して [関連情報を表示] をクリックすると、バナーに [2 つの関連する観測事象について利用可能な関連情報を表示中 (Viewing available associated info for 2 Associated Observables)] と表示されます。たとえば、別の観測事象を選択すると、その情報が期限切れであることを示すバナーが表示されます (以下のスクリーンショットを参照)。最新のデータを取得するには、[関連情報を表示] を再度クリックする必要があります。

      関連する観測事象の結果が期限切れである

      観測事象関連情報の上記の包括的なビューに加えて、親テーブルのレコードに関する詳細情報を表示するには、観測事象をクリックして、親テーブルレコードフォームを別のタブで開き、選択したレコードのより詳細なビューを表示します。選択した特定のレコードの関連するすべての子テーブルデータも [関連情報] セクションに表示されます。

      ただし、[関連情報] セクションには、調査キャンバスに表示される子テーブルの最新の結果のみが読み取り専用モードで表示されます。このビューではアクションは実行できません。子テーブルのフォームページを新しいタブで開くと、任意のアクションの全機能を使用できるページが表示されます (ある場合)。

      ドロップダウンリストを使用して、さまざまなテーブルを切り替えることができます。[関連情報] セクションで各フォームを展開したり折りたたんだりすることもできます。

      [観測事象] フォームページ (親テーブルレコードフォームページ) 内で、利用可能な特定のアクションを実行できます。アクションを実行するたびに、関連情報バナーをクリックしてデータを更新できます。

    8. [すべて展開] をクリックして、すべての関連リストの子テーブルを展開します。デフォルトでは、すべての子が展開されます。
      図 : 2. 観測事象を展開したビュー
      エントリーポイント展開ビュー