調査キャンバスの作成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • 脅威インテリジェンスライブラリから観測事象を追加するキャンバスを作成します。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. [脅威の Analyst Workbench] アイコンをクリックします。
    3. 検索項目 調査キャンバス > すべてのキャンバス.
    4. [New] をクリックします。
    5. 必要に応じてフィールドを入力します。
      表 : 1. 新しいキャンバスを作成
      フィールド 説明
      名前 キャンバスの名前を入力します。
      説明 キャンバスの説明を追加します。
      リンクされたケース このオプションでは、キャンバスが関連付けられていないケースのリストが表示されます。

      このフィールドは、ケースごとにリンクされたキャンバスがないことに基づいて動的に入力されるため、ユーザーは調査コンテキストを作成またはリンクする必要があるケースを簡単に識別できます。
      優先度 キャンバスの優先度を選択します。
      状況 キャンバスのステータスを選択します。
    6. [保存] をクリックします。
      [アーティファクト] と [調査キャンバス] の 2 つの新しいセクションが表示されます。新しいキャンバスを作成すると、キャンバスにはノードが含まれません。脅威インテリジェンスライブラリからノードを追加するか、ライブラリから追加オプションを使用してアーティファクトを追加する必要があります。
    7. 調査キャンバスに移動します。
    8. [ライブラリから追加] をクリックします。
      注:
      ノードの追加には、2 つのオプションがあります。[ インポート ] を選択してすべての観測事象をインポートするか、[ ライブラリから追加 ] オプションを選択して脅威インテリジェンスライブラリから観測事象を追加することができます。
      [ ライブラリからノードをインポート ] ダイアログボックスが表示されます。
    9. ドロップダウンリストから ノードのタイプ を選択します。
      たとえば、調査キャンバスに観測事象を追加する場合は、タイプとして [観測事象] を選択します。
    10. 必要な数の観測事象を選択します。
    11. [インポート] をクリックします。
      観測事象をインポートすると、ノードが調査キャンバスに追加されます。キャンバスに追加されたノードは、現在キャンバスに一時的に追加されており、キャンバスには保持されません。
    12. [キャンバスの保存] を選択します。
      ノードデータをキャンバスに処理する場合は、データを保存して永続的に保持する必要があります。
      注:
      [キャンバスを保存] オプションを実行しないと、キャンバスを更新するたびにデータが失われる可能性があります。
    13. [ ライブラリにデータを追加 ] を選択して、2 つの異なるノード間に新しいリレーションシップを作成します。
      2 つのノード間の関係は点線で示されます。これは、ノードが一時的なものであることを意味します。ノードデータをリレーションシップに移動する場合は、[ データをライブラリに保存 ] を選択し、ライブラリにデータを追加します。この操作を実行すると、点線がエッジ実線に変わり、ノードがライブラリの一部になったことを示します。
    14. フィルターアイコンを使用して、キャンバスに存在する観測事象とオブジェクトのタイプを表示し、調査キャンバスの下に表示するデータのタイプを選択的に選択できます。
    15. また、ポップアウトアイコンを選択して、より広いスペースで調査キャンバスノードを表示または操作します。
    16. [ケースをリンク] を選択して、ケースを調査キャンバスにリンクします。
      1. ケース ID を選択します。
      2. [リンク] ボタンをクリックします。
    17. [ 複製] をクリックして、キャンバス内のキャンバスデータとノードを複製します。