このセクションを使用して、調査キャンバスから直接、観測事象やオブジェクトなどの新しいエンティティを作成および追加します。
始める前に
この機能により、現在のビューから移動することなく、キャンバスをすばやく拡張できます。
必要なロール:sn_sec_tisc.analyst
手順
-
移動先 .
-
[脅威アナリストワークベンチ (Threat Analyst Workbench)] アイコンを選択します。
-
検索項目 .
-
任意のケースレコードを開きます。
注: ケースを作成するときは、キャンバスを作成するか、既存のキャンバスをリンクする必要があります。リンク後、新しいノードを追加するオプションを含むキャンバスアクションがユーザーインターフェイスで自動的に使用できるようになります。
-
選択 .
- ケースの空の調査キャンバスセクションのドロップダウンリストから新しいノード機能を表示することもできます。
- 新しいノード機能を表示する別のオプションは、調査キャンバス ページから直接表示することです。
-
ノードを作成するには、適切な エンティティカテゴリ と エンティティタイプを選択します。
| フィールド | 説明 |
|---|
| エンティティカテゴリ |
[観測事象]、[オブジェクト] などのエンティティカテゴリを選択します。 |
| エンティティタイプ |
カテゴリの選択に基づいて、使用可能なオプションからエンティティタイプを選択します。
注:
- エンティティタイプを選択すると、対応するオブジェクトフォームが自動的に表示され、[名前] や [説明] などのキーフィールドと、親エンティティを識別するために必要な必須フィールドが表示されます。
- 複製エンティティを作成しようとすると、つまり、アプリケーションに存在するエンティティを選択して同じ値でエンティティを作成しようとすると、エンティティが同じ値とタイプで脅威インテリジェンスライブラリに既に存在することを示すエラーメッセージが表示されます。
|
-
名前、説明など、必要なオブジェクトの詳細を入力します。
-
[追加] を選択して新しいノードを追加します。
このプロセスにより、調査キャンバスにノードが自動的に追加されます。
新しく追加されたノードは、ライブラリまたはケースアーティファクトを介してインポートされたノードと、ノード上のドット 
で視覚的に区別されます。
重要: 新しく追加されたノードは一時的なものであり、脅威インテリジェンスライブラリまたはキャンバスに保存されません。保存する前にキャンバスを更新すると、これらのノードは失われます。変更を保持するために、新しいノードを追加した後は必ずキャンバスを保存してください。
-
新しいノードを右クリックし、[ リレーションシップの追加] オプションを選択して、ノード間のリレーションシップを作成します。
注:
- 新しい関係を作成する場合、エッジは点線で表示され、一時的なノードであり、脅威インテリジェンスライブラリに保存されていないことを示します。
- 新しく追加されたエッジは一時的なものであり、脅威インテリジェンスライブラリやキャンバスには保存されません。保存する前にキャンバスを更新すると、これらのエッジは失われます。変更を保持するために、新しいエッジを追加した後に必ずキャンバスを保存してください。
-
右クリックして [ 詳細を表示 ] を選択すると、選択したエンティティに関連する詳細が表示されます。
注: データを追加するには、詳細ペイン内のハイパーリンクをクリックするか、[ レコードを開く ] オプションを選択して必要なノード関連データを追加します。
-
[ライブラリにデータを追加] オプションを選択して、調査中に一時的に追加されたすべてのノードとエッジを保存します。
このアクションを実行すると、一時レコードが脅威インテリジェンスライブラリ内の永続的な集計レコードに変換されます。