すべてのフィード

ベースシステムには各フィードに対する一連のカードがあり、これらを有効化して使用することができます。

フィードを表示するには、 ワークスペース > 脅威インテリジェンスセキュリティセンター > 統合 > 脅威インテルフィード > すべてのフィード.

[すべてのフィード] ビューのアクション

[すべてのフィード] セクションでは、次のアクションを実行できます。

表 : 1. [すべての統合 (All Integrations)] ビューのアクション

アクション	説明
すべて	現在のステータスに応じて、このドロップダウンメニューでフィードをフィルタリングします。フィルタリングは次のステータスに基づいて実行することができます。 すべて：ページ上のすべてのフィードを表示。これはデフォルトのオプションです。 有効：有効ステータスのフィードをすべて表示。 無効：無効ステータスのフィードをすべて表示。 ドラフト：ドラフトステータスのフィードをすべて表示。
	このアクションで、すべてのフィードがカード形式で表示されます。
	このアクションで、すべてのフィードがリストビュー形式で表示されます。
	このアクションで、ページが更新されます。
	このアクションで、統合が次の内容に基づいてすべてソートされます。 最終変更日 (最新) 最終変更日 (古い順) 名前 (A から Z) 名前 (Z ～ A)
すべてのアイテム	このアクションで、脅威インテリジェンスフィードをソースタイプやフィードタイプでフィルタリングしたりリスト表示したりすることができます。 ソースタイプ： オープンソース その他のソース プレミアムソース フィードタイプ： CSV カスタムフィード JSON MISP RSS STIX HTTPS テキスト
カタログで検索	このアクションで、カタログ内の名前や説明に基づいてフィードを検索します。

新規で脅威インテリジェンスフィードのデータソースを構成

新規で脅威インテリジェンスフィードのデータソースを構成するには、次の手順に従います。

1. 次のように移動する。 ワークスペース > 脅威インテリジェンスセキュリティセンター.
2. 統合アイコンをクリックします。
3. 選択 脅威インテルフィード > すべてのフィード.
4. [新しいデータソースを構成 (Configure new source)] をクリックします。さまざまなフィードタイプが表示されます。

   

5. 各フィードタイプを選択します。MISP など。
6. [選択] をクリックします。
7. フォームのフィールドに入力します。

   表 : 2. 新しいデータソースを作成

   フィールド	説明
   名前	フィードの名前を入力します。
   説明	フィードの説明。
   フィードタイプ	フィードのタイプ。MISP など。 デフォルトでは、この値はカタログで選択したフィードのタイプに基づいて表示されます。
   ロゴ	ソースフィードのロゴを添付します。
   業種	フィードのデータソースが適用される産業カテゴリ (航空宇宙、農業など) を選択します。
   ソースタイプ	利用可能なソースタイプのリストからソースタイプを選択します。利用可能なソースのリストは次のとおりです。 政府 ISAC オープンソース プレミアムソース その他のソース

   必要に応じて、[構成] セクションのフィールドに入力します。

   表 : 3. 構成

   フィールド	説明
   有効期限 (日数) (Expiry Period (days))	フィードの有効期間を日単位で入力します。例：「180 日」など。 注: ソースから取り込まれたデータはすべて、取り込みから 180 日後に有効期限が切れます。
   REST メッセージを使用	Now Platform の REST メッセージ / REST メソッド機能を使用する必要がある場合は、[REST メッセージを使用] チェックボックスをオンにします。 このチェックボックスがオンになっていない場合、アプリケーションは REST エンドポイント URL のエンドポイントを使用してフィードからデータを取得します。詳細については、Now Platform ドキュメントの「送信 REST Web サービス」を参照してください。 注: REST メッセージを選択する場合は、[REST メッセージ] フィールドと [REST メソッド] フィールドが必須です。
   REST メッセージ	インスタンスで既に構成されている REST メッセージレコードのリストから、REST メッセージレコードを選択します。詳細については、Now Platform ドキュメントの「送信 REST Web サービス」を参照してください。 注: 特定のヘッダーを表示する必要がある場合はこの値を選択して、[REST メッセージ] オプションで REST 関連のレコードを定義します。
   REST メソッド	選択した REST メッセージに対して構成されている利用可能な REST メソッドのリストから REST メソッドを選択します。詳細については、Now Platform ドキュメントの「送信 REST Web サービス」を参照してください。
   信頼性	この特定のフィードから取り込まれた適用可能なすべてのレコードに対する信頼度を設定します。 注: このソースの信頼度を 0 〜 100 の範囲で設定します。
   REST エンドポイント URL	データソースによってデータがホストされている REST エンドポイント URL を入力します。
   認証が必要	新規のデータソースに認証が必要な場合は、このチェックボックスをオンにします。 注: 「REST エンドポイント URL がデータの取得で使用されている場合にのみ適用」というステートメントを追加します。
   認証タイプ	ソースフィードの認証タイプ。ユーザーにおいてベースシステム内で構成およびプロビジョニングされる認証タイプは次のとおりです。 API ID / API キー API ID / API シークレット API キー API キー / API シークレット API ユーザー名 / API パスワード / API キー ベーシック認証 注: カスタムソースフィードタイプにおけるベースシステムの認証タイプは、クライアント ID とクライアントシークレットです。
   要求とともに渡されるヘッダー	要求とともに渡されるヘッダーは、要求ヘッダーマッピングで指定できます。ヘッダーはキーと値のペアで指定され、コロン (：) で区切る必要があります。ヘッダーの各キー値のペアは、新しい行で指定する必要があります。認証パラメーターをヘッダー値として指定する場合、必要な認証ラベルを「${」と「}$」で囲みます。例：「x-api-key:${API キー}$」など。
   詳細	カスタム統合スクリプトやレポートプロセッサスクリプトを定義する場合、このチェックボックスをオンにします。 注: チェックボックスをオンにすると、[統合スクリプト] フィールドと [レポートプロセッサ] フィールドが表示され、カスタムスクリプトを選択できます。
   統合スクリプト	統合スクリプトは、フィードで構成されている認証パラメーターやヘッダーを使用して REST エンドポイント URL への呼び出しを起動し、特定のフィードから利用可能なデータを取得します。 以下は、ベースシステム内のカスタムスクリプトインクルードです。これらが、統合スクリプト用にアプリケーション内でプロビジョニングされます。 FeedDatasourceIntegrationBase MITRESourceIntegration RSSFeedDatasourceIntegration SimpleFeedDatasourceIntegration SimpleMISPFeedDatasourceIntegration デフォルトの統合スクリプトは、選択したフィードタイプに基づいています。たとえば、データ処理および取得の標準形式である「MISP フィードタイプ」を選択した場合、統合スクリプトは「SimpleFeedDatasourceIntegration」になります。 注: カスタム統合スクリプトの場合、「FeedDatasourceIntegrationBase」を拡張してスクリプトインクルードを作成し、必要なメソッドを上書きすることができます。
   プロセッサをレポート	レポートプロセッサスクリプトは、統合スクリプトを使用してフィードから取得したデータを処理します。 以下は、ベースシステム内のカスタムスクリプトインクルードです。これらが、統合スクリプト用にアプリケーション内でプロビジョニングされます。 FeedDatasourceResponseProcessor MITRECollectionDataProcessor RSSFeedDatasourceResponseProcessor SimpleFeedDatasourceResponseProcessor SimpleMISPFeedDatasourceResponseProcessor TAXIIV2CollectionDataProcessor STIX HTTPS のデフォルトのレポートプロセッサは「TAXIIV2CollectionDataProcessor」です。デフォルトでは、このオプションが表示されます。他のレポートプロセッサへの変更や選択はできません。

   必要に応じて、[スケジュール] セクションのフィールドに入力します。

   表 : 4. スケジューリング

   フィールド	説明
   ラン	レコードを取り込む頻度を設定します。フィードは、ジョブのスケジュール間隔に基づいて実行されます。使用可能なジョブ間隔は、以下のとおりです。 日次 週次 月次 定期的 1 回 オンデマンド ビジネスカレンダー: エントリー開始 ビジネスカレンダー: エントリー終了 注: デフォルトでは、頻度は [オンデマンド] に設定されています。 詳細については、「スケジュール済みジョブ」および「選択したスクリプトを自動的に実行する方法」を参照してください。
   データのフェッチ元	開始日は、データフェッチが必要になる最初の日となります。このフィールドでは時刻を設定する必要があります。この時刻は、該当のソースからデータを取り込む必要がある時刻となります。このフィールドが設定されると、次の取り込み実行では設定された時刻にデータがフェッチされ、取り込み実行が継続的に行われる場合は増分のデータが取得されることになります。 たとえば、1 時間ごとにデータを取り込むようにソースをスケジュール設定します。ユーザーが 1 月 12 日午前 9 時 30 分に [ データフェッチの開始日時] を 1 月 12 日午前 6 時 00 分に設定し、取り込みのトリガーが 1 月 12 日午前 10 時に行われると、1 月 12 日午前 6 時～ 1 月 12 日午前 10 時までのデータが取得されます。次の取り込みのトリガーは午前 11:00 になり、1 月 12 日午前 10 時～ 1 月 12 日午前 11 時までの増分データのみがフェッチされます。 注: つまり、スケジュールされた実行では、指定された日時以降にデータが追加的にフェッチされることになります。

   表 : 5. タグ

   フィールド	説明
   タグを選択	タグを使用して、ソースからシステムに取り込まれたレコードに注釈や目印を付けます。[検索] バーにタグ名を入力して、アプリケーションで使用可能なタグを選択するか、新しいタグ名を入力して [追加] をクリックし、ソースに割り当てます。

8. [保存] アクションをクリックして、フィードを保存および作成します。

   指定された詳細情報が検証されます。デフォルトではフィードのステータスが無効になっています。

9. (オプション) [下書きとして保存する] アクションをクリックすると、フィード構成がドラフトとして保存されるだけとなります。ドラフトとして保存されたフィードは有効化できません。

   構成の詳細が不明な場合は、[下書きとして保存する] のオプションを利用して構いません。構成の詳細を取得したら、残りの情報をドラフトバージョンに入力して作成できます。

10. フィードを有効化するには、[有効化] をクリックします。
    フィードが正常に有効化されました。[カタログ] または [脅威インテリジェンスフィード] ページでは、必要なフィードのタイルのアクションメニューから特定のフィードを有効化、無効化、削除することもできます。

    注:

    データソースフォームのページの [スケジュール] セクションで実行頻度が [オンデマンド] に設定されている場合、統合を有効化するたびに、ソースが正常に有効化されたことをユーザーにアラートするメッセージプロンプトが表示されます。ソース構成でデータを自動的に取り込むには、実行頻度を変更する必要があります。
11. [有効化] をクリックしてレコードを有効化します。
    フィードデータソースのレコードが有効化されたら、レコードを実行して、統合を実行します。

    注:

    データソースのレコードにラベルが付けられ、有効であることが示されます。同様に、[無効化] ボタンをクリックすると、データソースのフィードが無効化されます。
12. [削除] をクリックして、フィードデータソースのレコードを削除します。
13. [統合実行] セクションを選択して、実行の詳細情報を確認します。

脅威インテリジェンスフィードのタイプ

手順の次のステップについては、固有の各フィードタイプの構成に関するセクションをそれぞれ参照してください。 脅威インテリジェンスフィード。