調査キャンバスの操作
調査キャンバスは、脅威インテリジェンス (TI) アナリストにとってより価値のある情報を提供する重要な機能です。1 対 1 または 1 対多の関係をマッピングし、観測事象、セキュリティ侵害のインジケーター (IOC)、またはエンティティに関連する情報を視覚化することで、構造化されたフレームワークを提供します。
調査キャンバスを使用することで、脅威アナリストは効果的に次のことができます。
- 関係のマッピング:観測事象、セキュリティ侵害のインジケーター (IOC)、攻撃者、攻撃パターン、影響を受ける資産など、さまざまなエンティティ間のノード接続を可視化します。調査キャンバス上の各オブジェクトは、そのオブジェクトタイプ、ノードタイプ、およびステータスとともに、特定の色で表されます。ステータスには、観測事象やその他のオブジェクトタイプに対する [不審]、[ 低]、[ 重大 ] などのオブジェクトの評判が反映されます。インジケーターは、関連する脅威の重大度とともに表示され、分析の優先順位付けに役立ちます。
- ケースまたはキャンバスをリンク:ケースまたはキャンバスをリンクして分析を強化し、ケース管理内で脅威の状況をより包括的に表示します。
- リンク機能を使用すると、アナリストはノードを動的に追加または削除できます。これにより、キャンバスへのノード間の既存の関係も入力されます。
- 調査キャンバスのコンテキスト内で関係を個別に保存することで、一時的な関係のグラフを作成します。
- MITRE テクニックの関連付け:MITRE テクニックをキャンバス上のノードに直接関連付けまたは削除し、MITRE キルチェーンカードで分析を提供します。
調査キャンバスのエントリーポイント
- 最初のエントリーポイント:新しい空白のキャンバス:このエントリーポイントにより、アナリストはノードやリンクのない新しい空白のキャンバスを開くことができます。
- 2 番目のエントリポイント:ケース調査でキャンバスを開く:
- このエントリーポイントでは、既存の調査ケースが開き、キャンバスの編集、変更、名前変更を行うことができます。
- 既存のアーティファクトをノードとして含む新しいキャンバス。