脅威インテリジェンスセキュリティセンターとともにインストールされるコンポーネント
脅威インテリジェンスセキュリティセンター アプリケーションをダウンロードしてアクティブ化すると、ユーザーロールやプロパティなど、いくつかのタイプのコンポーネントがインストールされます。
インストールされるプロパティ
必要なロール:sn_sec_tisc.admin
セキュリティアドミニストレーター [sn_sec_tisc.admin] ロールを持つユーザーは、それらを変更できます。
| プロパティ | 使用状況 |
|---|---|
| 脅威インテリジェンスセキュリティセンターのプロパティ | |
| これにより、すべての相関ルールが無効になります。選択した相関ルールのみを無効にする必要がある場合は、代わりに相関ルールの [アクティブ] フィールドを使用します。 sn_sec_tisc.disable_correlation_rules |
|
| このプロパティは、脅威スコア算出機能での集計の処理を有効/無効にするために使用されます。 sn_sec_tisc.aggregates_for_calculator |
|
| サイティング検索が実行されたときに保存される生データの行数。範囲 0 〜 100 sn_sec_tisc.sighting_search_raw_data_rows |
|
| サイティング検索の結果を CMDB 内の CI に関連付けます。 sn_sec_tisc.associate_ci_with_sighting_search |
|
| これは、リストの URL をデフラグするかどうかを制御します sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls |
|
| このプロパティを使用すると、MITRE テクニックを関連するオブジェクトまたはセキュリティインシデントからケースに自動的にロールアップできます。 sn_sec_tisc.auto_rollup_mitre_data |
|
| true の場合、レポートに表示される MITRE リストのすべての戦術 (ケースに関連付けられたテクニックがない戦術を含む) を表示します。 sn_sec_tisc.show_all_tactics_reporting |
|
| 共有レポートで使用されるケース (sn_sec_tisc_case) テーブルのメールクライアントテンプレートの Sys ID。 sn_sec_tisc.reporting_email_template_sn_sec_tisc_case |
|
| デフォルトの TLP レベルは、新しいレコードを作成するときに適用されます。フォームで手動で設定しない場合、この値が使用されます。 sn_sec_tisc.tlp_default_value |
|
| ログ記録レベル:デバッグ、情報、警告、エラー sn_sec_tisc.logging.verbosity |
|
| 脅威インテリジェンスフィードのプロパティ | |
| 送信 HTTP 接続で TAXII 収集データをフェッチするまでの最大待機時間 (秒) sn_sec_tisc.taxii.http.max_timeout |
|
| TAXII サーバーから 1 回の REST コールで取得されるオブジェクトの最大数 (TAXII バージョン 2.0 および 2.1 にのみ適用) sn_sec_tisc.taxii.max_ページ_サイズ |
|
| TAXII2 の試行失敗の最大回数。X REST 呼び出し sn_sec_tisc.taxii2.retry_count |
|
| Cyware TAXII サーバーから 1 回の REST 呼び出しで取得されるオブジェクトの最大数。 sn_sec_tisc.cyware_taxii.max_ページ_サイズ |
注:
Cyware TAXII フィードに関連する TAXII 収集からデータをフェッチするときに使用するページサイズを指定します。 他のすべての TAXII 収集では、TAXII 収集から取得されるページサイズは、対応するプロパティ |
| CrowdStrike から一度にフェッチするレコードの数。数値が大きいほど、ペイロードの処理で消費されるメモリが多くなります。 sn_sec_tisc.crowdstrike_api_limit |
|
| 1 回の API 呼び出しでプルされるインジケーターの数を示します。 注: これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。 sn_sec_tisc.crowdstrike_indicator_batch_size |
|
| 1 回の API 呼び出しでプルされるアクターの数を示します。 注: これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。 sn_sec_tisc.crowdstrike_actor_batch_size |
|
| 1 回の API 呼び出しでプルされるレポートの数を示します。 注: これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。 sn_sec_tisc.crowdstrike_report_batch_size |
|
| CrowdStrike API からのオフセットと制限の許容合計。 sn_sec_tisc.crowdstrike_offset_limit_total |
|
| REST API のプロパティ | |
| 観察事項フェッチ API の最大ページサイズ (応答の一部として返される観察事項の最大数) を定義します。API の応答時間に影響する可能性があるため、高い値に増やすことはお勧めしません。 sn_sec_tisc.api_maximum_page_size_limit |
|
| 観測事象追加 API の要求本文で送信できる観測事象の最大数を定義します。API の応答時間に影響する可能性があるため、高い値に増やすことはお勧めしません。 sn_sec_tisc.add_obs_api_max_records |
|
| Webhook のプロパティ | |
| 1 つの Webhook 要求の一部として送信できる最大イベント数。このプロパティで大きな値を設定しても、バッチサイズは 2000 に制限されます。 sn_sec_tisc.webhook_max_event_batch_size |
|
| 失敗した要求をエラーとしてマークして、次のイベントバッチに進むまでに要求を再試行する必要回数。このプロパティで大きな値を設定しても、再試行回数は 10 に制限されます。 sn_sec_tisc.webhook_retry_count |
|
| 失敗したバッチを再試行するまでの待機秒数。再試行回数に応じて指数関数的に増加します。たとえば、retry_count が 3 で retry_interval が 30 の場合、再試行は 30、60、120 秒後に開始されます。このプロパティで大きな値を設定しても、初回の再試行間隔は 300 秒 に制限されます。 sn_sec_tisc.webhook_retry_interval |
|
| 脅威スコアの再適用によってトリガーされる Webhook イベントを無視 sn_sec_tisc.webhook_ignore_threat_score_reapply |
|
| 調査キャンバスのプロパティ | |
| 値を true に設定すると、左上隅に新しいノードが追加されます。false の場合、キャンバスの中央に追加されます。 sn_sec_tisc.canvas_suspend_reLayout |
|
| CTI 形式でエクスポートするためのプロパティ | |
| STIX 2.1 ファイルにエクスポートできる最大行数 sn_sec_tisc.stix_export_limit |
|
| エクスポートファイルにジャーナルタイプフィールドを含めます。 sn_sec_tisc.export_journal_fields |
|
スケジュール済みジョブ
次の表で、スケジュール済みジョブについて説明します。
| ジョブ | 説明 |
|---|---|
| インジケーターソースレコードのアグリゲート | インジケーターソースレコードを集計します。 |
| オブジェクトソースレコードをアグリゲート | オブジェクトソースレコードを集計します。 |
| 観察事項ソースレコードをアグリゲート | 観測事象ソースレコードを集計します。 |
| 古いインポートのクリーンアップ | 古いインポートジョブレコードをクリーンアップします。 |
| キャンバスの未使用の新規ノードのクリーンアップ | キャンバスの未使用の新しいノードをクリーンアップします。 |
| 安全なファイルのダウンロードレコードをクリーンアップ | 安全なファイルのダウンロードレコードをクリーンアップします。 |
| インジケーターソースレコードの重複排除 | インジケーターソースレコードを重複排除します。 |
| オブジェクトソースレコードの重複排除 | オブジェクトソースレコードを重複排除します。 |
| 観察事項ソースレコードの重複排除 | 観察事項ソースレコードを重複排除します。 |
| 期限切れインジケーターを無効化 | 期限切れのインジケーターレコードを無効にします。 |
| 期限切れのオブジェクトを無効化 | 期限切れのオブジェクトレコードを無効にします。 |
| 期限切れの観察事項を無効化 | 期限切れの観測事象レコードを無効化 |
| TI から TISC へのデータの移行 | 保留中の移行ジョブの実行レコードを処理します |
| インジケーターソースレコードの集計レコードを入力 | 新しく作成されたインジケーターソースレコードの親集計レコードを識別します |
| オブジェクトソースレコードの集計レコードを入力 | 新しく作成されたオブジェクトソースレコードの親集計レコードを識別します。 |
| 観察事項ソースレコードの集計レコードを入力 | 新しく作成された観測事象ソースレコードの親集計レコードを識別します。 |
| TI の TISC 参照を入力 | TI 観測事象レコード内の TISC 集計観測事象の参照を入力します。 |
| 承認されたインポートを処理 | 承認されたインポートジョブを処理します。 |
| インポートされた MISP Dsm キューレコードを処理 | 処理済みのステージング済みの MISP フィード取り込みキューレコード。 |
| インポートされた MISP インジケーターインポートキューレコードを処理 | インポートインテリジェンスから取り込まれたステージング済み MISP データを処理します |
| インポートされた STIX インポートキューレコードを処理 | インポートインテリジェンスから取り込まれたステージング済み STIX データを処理します |
| インポートされた STIX インポートキューレコードを処理:取り込み | 脅威フィードから取り込まれたステージング済みの STIX データを処理します。 |
| 処理待ちのケースアーティファクトの移行 | ケースアーティファクトを脅威インテリジェンスアプリケーションから脅威インテリジェンスセキュリティセンターに移行します。 |
| 処理待ちの脅威ソースの取り込みキューレコード | 処理待ちのソース取り込みキューレコードを処理します。 |
| 脅威スコア算出のキューに格納されたエンティティを処理 | 処理待ちの脅威算出キューエントリー |
| キューに格納された MISP Dsm キューレコードを処理 | 脅威フィードから取り込まれたキューに格納された MISP データを処理します |
| キューに格納された MISP インジケーターインポートキューレコードを処理 | インポートインテリジェンスから取り込まれたキューに格納された MISP データを処理します |
| キューに格納された STIX インポートキューレコードを処理:取り込み | 脅威フィードから取り込まれたキューに格納された STIX データを処理します。 |
| キューに格納された STIX インジケーターインポートキューレコードを処理 | インポートインテリジェンスから取り込まれたキューに格納された STIX データを処理します |
| Webhook キューを処理 | 処理待ちの Webhook キューレコードを処理します。 |
| ソースレコードを再集計 | 集計レコードが削除されるソースレコードを再集計します。 |
| フィルター済みソースレコードを削除 | フィルターされたソースレコードをクリーンアップ |
| CrowdStrike 統合を再開 CrowdStrike ソースレコードのチェッカー/再処理を処理 | 関係を集約するためのレート制限/リリースソースレコードを待機して、CrowdStrike フィード統合の実行を再開します |
| 誤検出観察事項数の同期 | 観測事象の誤検出数をソースごとのサンプル陽性数と同期します |
| TISC Webhook バッチを作成 | キューに格納された Webhook キューエントリーの処理用のバッチを作成しました |
| TISC Fire Webhook | 保留中の Webhook バッチを実行します |
| 関係性の更新がアーカイブされました列 | 関係性、ソース、ターゲットレコードのアーカイブステータスを更新します |