サイティング検索を構成する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • 1 つまたは複数の観測事象でサイティング検索を実行し、組織のログで観測事象が観測された回数を判断できます。選択した日数または日付範囲内の観測事象でサイティング検索を実行できます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    注:
    拡張統合モジュールは、いずれかの機能をサポートする統合の少なくとも 1 つがアプリケーションにインストールされている場合にのみ表示されます。
    脅威インテリジェンスセキュリティセンター は、次の統合に対してのみサイティング検索をサポートしています。
    • Splunk 検索
    • ElasticSearch

    このタスクについて

    [サイティング検索] セクションには、統合タイプがサイティング検索である統合のみが含まれます。

    このセクションには、アクティブ化して使用できる構成済みの各統合実装のカードが表示されます。

    手順

    1. 次のように移動する。 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. [統合] アイコンをクリックし、[サイティング検索] セクションを選択します。
      サイティング検索の統合
    3. [新しい拡張を構成 (Configure new enrichment)] アクションをクリックします。
      これにより、利用可能な統合を表示するポップアップが表示されます。構成する必要がある統合を選択する必要があります。
    4. 利用可能な統合のリストから統合を選択し、[選択] をクリックします。
      これにより、選択した統合の [新しい拡張統合を作成] ページが表示されます。このページには、選択した統合の詳細がデフォルトで事前入力されています。次の例は Splunk Integration です。

      利用可能な統合のリストから統合を選択します

    5. [新しい統合を作成] フォームでフィールドに入力します。
      フィールド説明
      拡張統合  
      名前 新しい拡張統合の名前を入力します。例:Splunk-1
      ベンダー名 ベンダーの名前。選択したベンダーの詳細は、デフォルトで事前に入力されています。例:Splunk
      統合タイプ 選択した統合のタイプはサイティング検索です。選択した統合タイプの詳細は、デフォルトで事前に入力されています。
      説明 新しい拡張統合の一意の説明を入力します。
      新しい拡張統合フォームを作成する
    6. [統合構成] セクションで、要件に基づいて統合の詳細を構成します。
      [統合構成] セクションには、API キー、API クライアント ID またはシークレット、ユーザー名、パスワードなどの構成の詳細が含まれており、それらを入力する必要があります。これらの構成の詳細は、アプリによって異なります。
    7. [保存] アクションをクリックして、新しい拡張統合構成を保存および作成します。
      指定された詳細が検証され、拡張統合のステータスはデフォルトで無効になっています。
    8. [下書きとして保存する] アクションをクリックすると、拡張構成に加えられた更新のみが保存され、作成はされません。
      構成の詳細が不明な場合は、[下書きとして保存する] オプションを使用できます。構成の詳細を取得したら、残りの情報をドラフトバージョンに入力して作成できます。
    9. 拡張統合を有効にするには、[有効化] をクリックします。
      拡張統合が正常に有効化されました。[カタログ] ページまたは [すべての統合] ページで必要な統合タイルの [アクション] メニューを使用して、特定の拡張統合を有効にすることもできます。