観測事象を定義する
観測事象は、STIX データとしてベンダーサーバーから取得されます。ただし、必要に応じて観測事象を作成できます。
始める前に
必要なロール:sn_ti.admin
手順
- 移動先 すべて > 脅威インテリジェンス > IoC リポジトリ > 観察事項.
-
[New] をクリックします。
-
必要に応じて、フォームのフィールドに入力します。
フィールド 説明 分類タグを選択 レコードにメタデータを追加するためにセキュリティタグを設定しアクティブ化した場合、1 つ以上のタグを選択して、観測事象の感度を指定できます。 セキュリティタグを設定またはアクティブ化していない場合、このドロップダウンリストは表示されません。
値 観測事象に関連付けられている値 (IP アドレスやハッシュなど)。 注:IP アドレスまたはハッシュに対する脅威スキャン がマルウェアまたはその他のエラーを返した場合、IP アドレスまたはハッシュの値が観測事象 [sn_ti_observable] テーブルに自動的に追加されます。そのため、[観測事象] フォームから検索できます。観測可能タイプ IP アドレスやファイルハッシュなどの観測事象の分類を選択します。これらの観測事象タイプは、[観測事象タイプ] モジュールで定義されます。 インシデント数 観測事象値が検出された回数。 構成である このフィールドは、観測事象レコードが保存された後にのみ表示されます。 [観測事象タイプ] が [観測事象構成] 以外に設定されていて、この新しい観測事象が構成である場合は、このチェックボックスをオンにします。
[観測事象タイプ] が既に [観測事象構成] に設定されている場合、このチェックボックスはオンになっていて、読み取り専用になります。
観測事象構成は、子観測事象を含む観測事象です。
結果 次のいずれかを選択します。 - [悪意がある]:観測事象が組織に有害であることを示します。
- [不審]:観測事象が組織に有害であるおそれがあることを示します。
- [クリーン]:観測事象が組織に有害でないことを示します。
- [不明]:観測事象の結果がまだ確定していないことを示します。
デフォルト値:[不明]。詳細については、「脅威のルックアップ検索計算ツール」を参照してください。
注:アップグレード後、既存の観測事象は [悪意がある] としてマークされます。演算子 このフィールドは、[構成である] チェックボックスがオンの場合にのみ表示されます。このフィールドの設定に応じて、関連するインジケーターが存在するかどうかを決定するときに観測事象とその子が考慮されます。 関連するインジケーターが存在すると判断されるためにすべての子観測事象が存在する必要がある場合は、このフィールドを [AND] に設定します。
関連するインジケーターが存在すると判断されるためにいずれかの子観測事象が存在する必要がある場合は、このフィールドを [OR] に設定します。
存在できない このフィールドは、観測事象レコードが保存された後にのみ表示されます。 このフィールドを選択した場合、観測事象が存在しないことが潜在的な問題 (レジストリーキーの欠落など) であることを示します。
ロケーション 2 つのプロパティの設定と 1 つのスクリプトインクルード定義を使用して、このフィールドに IoC データをさらにロードする をロードできます。 メモ 観測事象に関する追加のメモを入力します。 -
フォームヘッダーを右クリックし、[保存] をクリックします。
次の関連リストのいずれかをクリックして、追加情報を表示できるようになりました。
関連リスト 説明 関連するインジケーター 脅威のソースによって識別された、インジケーターを一覧表示します。 関連タスク 観測事象に関連する変更を一覧表示します。 子観測事象 脅威のソースによって識別された、関連する観測事象を一覧表示します。 IP の一致リソース 観測事象が IP アドレスの場合、このリストには、一致する IP アドレスを持つすべてのリソース (構成アイテム) が表示されます。 観測事象ソース この観測事象のタイプを、ソースの信頼性レベルと共に一覧表示します。 セキュリティ注釈 この観測事象に追加されたセキュリティ注釈を一覧表示します。