脅威インテリジェンスセキュリティセンターとともにインストールされるコンポーネント
脅威インテリジェンスセキュリティセンター アプリケーションをダウンロードしてアクティブ化すると、ユーザーロールやプロパティなど、いくつかのタイプのコンポーネントがインストールされます。
インストールされるプロパティ
必要なロール:sn_sec_tisc.admin
セキュリティアドミニストレーター [sn_sec_tisc.admin] ロールを持つユーザーは、それらを変更できます。
| 財産 | 使用法 |
|---|---|
| 脅威インテリジェンスセキュリティセンターのプロパティ | |
| これにより、すべての相関ルールが無効になります。選択した相関ルールのみを無効にする必要がある場合は、代わりに相関ルールの [アクティブ] フィールドを使用します。 sn_sec_tisc.disable_correlation_rules |
|
| このプロパティは、脅威スコア算出機能での集計の処理を有効/無効にするために使用されます。 sn_sec_tisc.aggregates_for_calculator |
|
| サイティング検索が実行されたときに保存される生データの行数。範囲 0 〜 100 sn_sec_tisc.sighting_search_raw_data_rows |
|
| サイティング検索の結果を CMDB 内の CI に関連付けます。 sn_sec_tisc.associate_ci_with_sighting_search |
|
| これは、リストの URL をデフラグするかどうかを制御します sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls |
|
| このプロパティを使用すると、MITRE テクニックを関連するオブジェクトまたはセキュリティインシデントからケースに自動的にロールアップできます。 sn_sec_tisc.auto_rollup_mitre_data |
|
| true の場合、レポートに表示される MITRE リストのすべての戦術 (ケースに関連付けられたテクニックがない戦術を含む) を表示します。 sn_sec_tisc.show_all_tactics_reporting |
|
| 共有レポートで使用されるケース (sn_sec_tisc_case) テーブルのメールクライアントテンプレートの Sys ID。 sn_sec_tisc.reporting_email_template_sn_sec_tisc_case |
|
| デフォルトの TLP レベルは、新しいレコードを作成するときに適用されます。フォームで手動で設定しない場合、この値が使用されます。 sn_sec_tisc.tlp_default_value |
|
| ログ記録レベル:デバッグ、情報、警告、エラー sn_sec_tisc.logging.verbosity |
|
| 脅威インテリジェンスフィードのプロパティ | |
| 送信 HTTP 接続で TAXII コレクションデータをフェッチするまでの最大待機時間 (秒) sn_sec_tisc.taxii.http.max_timeout |
|
| TAXII サーバーから 1 回の REST コールで取得されるオブジェクトの最大数 (TAXII バージョン 2.0 および 2.1 にのみ適用) sn_sec_tisc.taxii.max_page_size |
|
| TAXII2 の試行失敗の最大回数。X REST 呼び出し sn_sec_tisc.taxii2.retry_count |
|
| Cyware TAXII サーバーから 1 回の REST 呼び出しで取得されるオブジェクトの最大数。 sn_sec_tisc.cyware_taxii.max_page_size |
注:
Cyware TAXII フィードに関連する TAXII 収集からデータを取得するときに使用するページサイズを指定します。 他のすべての TAXII 収集の場合、TAXII 収集から取得されるページサイズは、対応するプロパティ |
| CrowdStrike から一度にフェッチするレコードの数。数値が大きいほど、ペイロードの処理で消費されるメモリが多くなります。 sn_sec_tisc.crowdstrike_api_limit |
|
| 1 回の API 呼び出しでプルされるインジケーターの数を示します。 注: これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。 sn_sec_tisc.crowdstrike_indicator_batch_size |
|
| 1 回の API 呼び出しでプルされるアクターの数を示します。 注: これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。 sn_sec_tisc.crowdstrike_actor_batch_size |
|
| 1 回の API 呼び出しでプルされるレポートの数を示します。 注: これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。 sn_sec_tisc.crowdstrike_report_batch_size |
|
| CrowdStrike API からのオフセットと制限の許容合計。 sn_sec_tisc.crowdstrike_offset_limit_total |
|
| タグ付けルールのプロパティ | |
| REST API のプロパティ | |
| 観察事項フェッチ API の最大ページサイズ (応答の一部として返信される観察事項の最大数) を定義します。API の応答時間に影響する可能性があるため、高い値に増やすことはお勧めしません。 sn_sec_tisc.api_maximum_page_size_limit |
|
| 観察事項追加 API の要求本文で送信できる観察事項の最大数を定義します。API の応答時間に影響する可能性があるため、高い値に増やすことはお勧めしません。 sn_sec_tisc.add_obs_api_max_records |
|
| Webhook のプロパティ | |
| 1 つの Webhook 要求の一部として送信できる最大イベント数。このプロパティで大きな値を設定しても、バッチサイズは 2000 に制限されます。 sn_sec_tisc.webhook_max_event_batch_size |
|
| 失敗した要求をエラーとしてマークして、次のイベントバッチに進むまでに要求を再試行する必要回数。このプロパティで大きな値を設定しても、再試行回数は 10 に制限されます。 sn_sec_tisc.webhook_retry_count |
|
| 失敗したバッチを再試行するまでの待機秒数。再試行回数に応じて指数関数的に増加します。たとえば、retry_count が 3 で retry_interval が 30 の場合、再試行は 30、60、120 秒後に開始されます。このプロパティで大きな値を設定しても、初回の再試行間隔は 300 秒 に制限されます。 sn_sec_tisc.webhook_retry_interval |
|
| 脅威スコアの再適用によってトリガーされる Webhook イベントを無視 sn_sec_tisc.webhook_ignore_threat_score_reapply |
|
| 調査キャンバスのプロパティ | |
| 値を true に設定すると、左上隅に新しいノードが追加されます。false の場合、キャンバスの中央に追加されます。 sn_sec_tisc.canvas_suspend_reLayout |
|
| CTI 形式でエクスポートするためのプロパティ | |
| STIX 2.1 ファイルにエクスポートできる最大行数 sn_sec_tisc.stix_export_limit |
|
| エクスポートファイルにジャーナルタイプフィールドを含めます。 sn_sec_tisc.export_journal_fields |
|
| 脅威インテリジェンスの共有のプロパティ | |
| 共有情報の編集を適用する場合に大文字と小文字を区別するのを有効または無効にします。(デフォルトでは、この値は false で、編集で大文字と小文字が区別されないことを意味します。注意:このプロパティの値を false から true に、または true から false に変更すると、編集カテゴリと値テーブルのすべてのデータが削除されます。 sn_sec_tisc.case_sensitive_for_redaction |
|
| 編集アップロードファイルで許容される最大行数。 sn_sec_tisc.max_redaction_rows_import |
|
| 送信 TAXII サーバーのタイトル sn_sec_tisc.taxii_server_discovery_api_title |
|
| 送信 TAXII サーバーの説明 sn_sec_tisc.taxii_server_discovery_api_description |
|
| 送信 TAXII サーバーのデフォルトの API ルートのタイトル sn_sec_tisc.taxii_server_api_root_title |
|
| 送信 TAXII サーバーのデフォルト API ルートの説明 sn_sec_tisc.taxii_server_api_root_description |
|
| TAXII サーバー API 応答のデフォルトのページサイズ sn_sec_tisc.taxii_server_api_response_page_limit |
|
| 送信 TAXII サーバーコレクションに追加できるレコードの最大数 sn_sec_tisc.taxii_server_collection_record_limit |
|
| 1 回の「TAXII 収集に追加」要求で TAXII 収集に追加できるエンティティの最大数。システムでは、構成値の上限に関係なく、要求ごとに 10,000 エンティティというハード制限が適用されます。 sn_sec_tisc.add_to_taxii_collection_entity_threshold |
|
| タグ付けルールのプロパティ | |
| キーワードまたは正規表現 n タグ付けルールの大文字と小文字を区別する一致を有効または無効にします (デフォルトでは、これは選択されていない (いいえ) です。つまり、一致では大文字と小文字が区別されます)。 sn_sec_tisc.case_sensitive_for_tagging_rules |
|
スケジュール済みジョブ
次の表に、スケジュール済みジョブを示します。
| 仕事 | 説明 |
|---|---|
| アグリゲートインジケーターソースレコード | インジケーターソースレコードを集計します。 |
| アグリゲートオブジェクトソースレコード | オブジェクトソースレコードを集計します。 |
| 観察事項ソースレコードの集計 | 観測事象ソースレコードを集計します。 |
| 古いインポートのクリーンアップ | 古いインポートジョブレコードをクリーンアップします。 |
| キャンバスの未使用の新しいノードのクリーンアップ | キャンバスの未使用の新しいノードをクリーンアップします。 |
| 安全なファイルのダウンロードレコードをクリーンアップ | 安全なファイルのダウンロードレコードをクリーンアップします。 |
| インジケーターソースレコードの重複排除 | インジケーターソースレコードの重複排除を行います。 |
| オブジェクトソースレコードの重複排除 | オブジェクトソースレコードの重複排除を行います。 |
| 観察事項ソースレコードの重複排除 | 観測事象ソースレコードの重複を排除します。 |
| 期限切れインジケーターを非アクティブ化 | 期限切れのインジケーターレコードを非アクティブ化します。 |
| 期限切れのオブジェクトを非アクティブ化 | 期限切れのオブジェクトレコードを非アクティブ化します。 |
| 期限切れの観察事項を非アクティブ化 | 期限切れの観測事象レコードを無効化します |
| TI から TISC へのデータの移行 | 処理待ちの移行ジョブ実行レコード |
| インジケーターソースレコードの集計レコードを入力 | 新しく作成されたインジケーターソースレコードの親集計レコードを識別します |
| オブジェクトソースレコードの集計レコードに入力 | 新しく作成されたオブジェクトソースレコードの親集計レコードを識別します。 |
| 観測事象ソースレコードの集計レコードに入力 | 新しく作成された観測事象ソースレコードの親集計レコードを識別します。 |
| TI に TISC 参照を入力 | TI 観察事項レコードに TISC 集計観察事項の参照を入力します。 |
| 承認されたインポートを処理 | 承認されたインポートジョブを処理します。 |
| インポートされた MISP DSM キューレコードを処理 | 処理済みのステージング済み MISP フィード取り込みキューレコード。 |
| インポートされた MISP インジケーターインポートキューレコードを処理 | インポートインテリジェンスから取り込まれたステージング済み MISP データを処理します |
| インポートされた STIX インポートキューレコードを処理 | インポートインテリジェンスから取り込まれたステージング済み STIX データを処理します |
| インポートされた STIX インポートキューレコードを処理:取り込み | 脅威フィードから取り込まれたステージング済み STIX データを処理します。 |
| 処理待ちのケースアーティファクトの移行 | ケースアーティファクトを脅威インテリジェンスアプリケーションから脅威インテリジェンスセキュリティセンターに移行します。 |
| 処理待ちの脅威ソースの取り込みキューレコード | 処理待ちのソース取り込みキューレコードを処理します。 |
| 脅威スコア算出のキューに格納されたエンティティを処理 | 処理待ちの脅威算出キューエントリーを処理します |
| キューに格納された MISP DSM キューレコードを処理 | 脅威フィードから取り込まれたキューに格納された MISP データを処理します |
| キューに格納された MISP インジケーターインポートキューレコードを処理 | インポートインテリジェンスから取り込まれたキューに格納された MISP データを処理します |
| キューに格納された STIX インポートキューレコードを処理:取り込み | 脅威フィードから取り込まれたキューに格納された STIX データを処理します。 |
| キューに格納された STIX インジケーターインポートキューレコードを処理 | インポートインテリジェンスから取り込まれたキューに格納された STIX データを処理します |
| Webhook キューを処理 | 処理待ちの Webhook キューレコードを処理します。 |
| ソースレコードを再集計 | 集計レコードが削除されるソースレコードを再集計します。 |
| フィルタリングされたソースレコードを削除 | フィルタリングされたソースレコードをクリーンアップします |
| CrowdStrike 統合を再開 プロセスチェッカー/再処理 CrowdStrike ソースレコード | レート制限を待機中の CrowdStrike フィード統合実行を再開します / リレーションシップをアグリゲートするためのソースレコード |
| 誤検出観察事項数を同期 | 観察事項の誤検出数をソースごとのフラグズ陽性数と同期します |
| TISC Webhook バッチを作成 | 処理用にキューに入れられた Webhook キューエントリーのバッチを作成しました |
| TISC Fire Webhook | 保留中の Webhook バッチを実行します |
| 関係を更新しています アーカイブ済み列 | 関係ソースレコードとターゲットレコードのアーカイブステータスを更新します |