観測データの定義

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:4分

    • STIX サイバー観測可能オブジェクト (SCO) を使用して、ファイル、システム、ネットワークなどのサイバーセキュリティ関連エンティティに関する情報を提供します。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 次のように移動する。 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. ワークスペースの [脅威インテリジェンスライブラリ (Threat Intel Library)] アイコンをクリックします。
    3. [観測データ] オブジェクトに移動します。
    4. [新規] をクリックします。
      注:
      観測事象、インジケーター、エンティティ、オブジェクトのオブジェクトレコードを新たに作成するたびに、ソースレコードが作成され、新しいオブジェクトレコードが作成されたことを示すプロンプトメッセージが表示されます。その後、ユーザーは集計レコードにリダイレクトされます。
    5. フォームのフィールドに入力します。
      表 : 1. 観測データの詳細ビュー
      フィールド 説明
      ID 観測データを識別する一意の ID。
      初回観測日 データが表示された最初の時刻。
      最終観測日 データが表示された最後の時刻。
      観測数 各サイバー観測可能オブジェクトが表示された回数。値は 1 〜 999,999,999 の整数でなければなりません。
      TLP TLP は、機密情報が適切な対象者と共有されるようにするために使用されるものです。4 つの色 (白、緑、オレンジ、赤) を使用して、さまざまな感度を示します。
      信頼性 観測データの信頼度を入力します
      ソース このオブジェクトレコードの作成元である脅威のソースを指定します。
      取り消し 取り消されたオブジェクトが、オブジェクト作成者によって有効と見なされなくなったことを示します。
      表 : 2. インサイト
      フィールド 説明
      メモ この観測データに関するメモを追加します。
      表 : 3. 追加情報
      フィールド 説明
      追加コンテキスト この観測データのコンテキストを追加します。
      仕様バージョン このオブジェクトを表すために使用される STIX 仕様のバージョン。

      この仕様に従って定義された STIX オブジェクトの場合、このプロパティの値は 2.1 である必要があります。
      言語 このプロパティは、このオブジェクトのテキストコンテンツの言語を識別します。
      作成日時 ソースでオブジェクトが作成された日時を指定します。
      拡張 攻撃パターンの拡張を示します。
      更新日時 ソースでオブジェクトが更新された日時を指定します。
      処理ステータス このオブジェクト (対処措置) の処理ステータスを表します。
    6. [保存] をクリックします。
      保存すると、「新しい観測事象レコードが作成されました。レコードを編集して新たな関連を作成するには [続行] をクリックしてください」というプロンプトメッセージが表示されます。
    7. [続行] をクリックします。
      重要:
      新しい観測事象レコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。

      観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。

      表 : 4. タグと分類
      フィールド 説明
      Tags
      タグを選択 観測データに関連付けられているタグを選択します。
      タグを追加 新しいタグを追加します。
      分類
      分類を選択 この観測データに関連付けられている分類を選択します。
      分類値を追加 この観測データに関連付けられている分類値を追加します。

    次のタスク

    次の関連リストのいずれかをクリックすると、観測データに関連するオブジェクトの追加情報が表示されます。
    表 : 5. 関連レコード
    フィールド 説明
    外部参照 STIX 以外の情報を参照する外部参照を一覧表示します。このプロパティは、1 つ以上の外部オブジェクト識別子を指定するために使用されます。
    インジケーター このオブジェクトに関連付けられた脅威ソースによって特定された、関連するセキュリティ侵害のインジケーター (IoC) を一覧表示します。
    インフラストラクチャ このオブジェクトに関連付けられているシステム、ソフトウェア サービス、および関連する物理リソースまたは仮想リソースを一覧表示します。
    マーケティング定義 このオブジェクトに関連付けられたマーケティング定義を一覧表示します。
    サイティング このオブジェクトに関連付けられたサイティングを一覧表示します。
    注:
    1. このオブジェクトに関連付けられた関連レコードをリンクおよびリンク解除できます。詳細については、「脅威インテリジェンス関連レコードへのリンク」を参照してください。
    2. TI ライブラリ内のさまざまな SDO には、潜在的な関係も含まれています。任意の 2 つのオブジェクト間の関係を確立するには、脅威インテリジェンスライブラリ[潜在リレーションシップ] リンクを使用してオブジェクト間の関係を確定します。詳細については、「オブジェクトとオブジェクトの潜在リレーションシップを確認する」を参照してください。
    3. また、オブジェクトフォームビューの [関連レコード] セクションを使用し、フォームビューで使用可能な [潜在リレーションシップ] セクションを使用して、2 つのオブジェクト間の関係を確認します。詳細については、「関連レコードから潜在リレーションシップを確認する」を参照してください。
    4. ケースにオブジェクトを追加できます。詳細については、「ケースに追加する」を参照してください。