レポートテンプレート
ユーザーのグループ内で共有できるレポートテンプレートを再利用して、迅速かつ一貫性のあるレポートを生成する機能を定義します。
この機能を使用して、さまざまなタイプのレポートテンプレートを作成します。これは、組織の脅威に関する進行中の調査のステータスを報告するケースや、同じレポートを生成するうえで役立つケースに適用できます。
このセクションでは、ケースレベルで CTI レポートを実装する方法について説明し、管理者 (テンプレートデザイン) およびアナリスト (ランタイム) エクスペリエンスを提供します。
ドット連結が可能なカスタムケースタスクフォームフィールドや関連リストをレポートテンプレートに追加できます。また、さまざまなレポート要素を使用して、要件に基づくレポートを書式設定および構成できます。
必要なロール:sn_sec_tisc.admin
ベースシステム内でプロビジョニングされるいくつかのレポートテンプレートについては、次のテーブルのとおりです。
| 名前 | 説明 |
|---|---|
| ケースステータスレポート:攻撃者プロファイル | このレポートは、脅威アクターに関連する進行中のケース調査に関するステータスを提供することを目的としています。脅威アクターは、組織に対する脅威のコンテキストと関連性、攻撃者の行動と潜在的な目標、IOC 拡張、関連するマルウェアとツール、観測された TTP、既存の TTP との違い (新機能、わずかな変更など) を理解しようとしています。 |
| エグゼクティブサマリー | また、特定のリスクについて上級意思決定者に情報を提供できるようにもなっています。上級管理者に理解してもらうことに重点を置き、戦略的な問題については「何が」「いつ」ではなく「なぜ」「どのように」を明らかにします。長文の物語を書くための技術的な詳細や付録は、このレポートには含まれません。 |
| 事後調査のサマリー:攻撃者プロファイル | このレポートは、組織に対する脅威のコンテキストと関連性を提供するように設計されています。敵対者の行動と潜在的な目標。IOCエンリッチメント;関連するマルウェアとツール。観測されたTTP;既存の TTP との違い – 新機能、わずかな変更など。 |
注:
デフォルトでは、これらのレポートのステータスは「公開済み」で、読み取り専用モードになります。レポートテンプレートは読み取り専用モードのため、ユーザーはテンプレートを編集できません。また、レポートテンプレートが無効になるため、アナリストはレポートを生成できません。