脅威インテリジェンスセキュリティセンターのプロパティの設定

  • リリースバージョン: Australia
  • 更新日 2026年04月21日
  • 所要時間:14分

    • 脅威インテリジェンスセキュリティセンターとともにインストールされたコンポーネントを確認して、インスタンスに追加されたロール、プロパティ、およびその他の要素を理解します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    注:
    アドミニストレーター [sn_sec_tisc.admin] ロールを持つユーザーのみがそれらを変更できます。

    手順

    1. ナビゲート すべて > 脅威インテリジェンスセキュリティセンター > プロパティ.
    2. 必要に応じて 次のプロパティを構成します。
      プロパティ 説明
      脅威インテリジェンスセキュリティセンターのプロパティ
      これにより、すべての相関ルールが無効になります。選択した相関ルールのみを無効にする必要がある場合は、代わりに相関ルールの [アクティブ] フィールドを使用します。

      sn_sec_tisc.disable_correlation_rules
      • タイプ:true | false
      • デフォルト値:false
      このプロパティは、脅威スコア算出機能での集計の処理を有効/無効にするために使用されます。

      sn_sec_tisc.aggregates_for_calculator
      • タイプ:true | false
      • デフォルト値:true
      サイティング検索が実行されたときに保存される生データの行数。範囲 0 〜 100

      sn_sec_tisc.sighting_search_raw_data_rows
      • タイプ:整数
      • デフォルト値:50
      サイティング検索の結果を CMDB 内の CI に関連付けます。

      sn_sec_tisc.associate_ci_with_sighting_search
      • タイプ:true | false
      • デフォルト値:true
      これは、リストの URL をデフラグするかどうかを制御します

      sn_sec_tisc.sn_sec_tisc_case.defang_record_list_urls
      • タイプ:true | false
      • デフォルト値:false
      このプロパティを使用すると、 MITRE™ テクニックを関連するオブジェクトまたはセキュリティインシデントからケースに自動的にロールアップできます。

      sn_sec_tisc.auto_rollup_mitre_data
      • タイプ:true | false
      • デフォルト値:true
      true の場合、レポートに表示される MITRE™ リストのすべての戦術 (ケースに関連付けられたテクニックがない戦術を含む) を表示します。

      sn_sec_tisc.show_all_tactics_reporting
      • タイプ:true | false
      • デフォルト値:true
      共有レポートで使用されるケース (sn_sec_tisc_case) テーブルのメールクライアントテンプレートの Sys ID。

      sn_sec_tisc.reporting_email_template_sn_sec_tisc_case
      • タイプ:文字列
      • デフォルト値:b55e22c54324021060eee0ea78b8f2df
      デフォルトの TLP レベルは、新しいレコードを作成するときに適用されます。フォームで手動で設定しない場合、この値が使用されます。

      sn_sec_tisc.tlp_default_value
      • タイプ:選択リスト
      • デフォルト値:955c9e5543d35110baf06e434ab8f2fb
      ログ記録レベル:デバッグ、情報、警告、エラー

      sn_sec_tisc.logging.verbosity
      • タイプ:選択リスト
      • デフォルト値: info
      脅威インテリジェンスフィードのプロパティ
      送信 HTTP 接続で TAXII コレクションデータをフェッチするまでの最大待機時間 (秒)

      sn_sec_tisc.taxii.http.max_timeout
      • タイプ:整数
      • デフォルト値:300
      TAXII サーバーから 1 回の REST 呼び出しで取得されるオブジェクトの最大数 (TAXII バージョン 2.0 および 2.1 にのみ適用)

      sn_sec_tisc.taxii.max_page_size
      • タイプ:整数
      • デフォルト値:5000
      失敗した TAXII の最大再試行回数 2.X REST 呼び出し

      sn_sec_tisc.taxii2.retry_count
      • タイプ:整数
      • デフォルト値:3
      Cyware TAXII サーバーから 1 回の REST 呼び出しで取得されるオブジェクトの最大数

      sn_sec_tisc.cyware_taxii.max_page_size
      • タイプ:整数
      • デフォルト値:1000
      注:
      Cyware TAXIIフィードに関連するTAXIIコレクションからデータを取得するときに使用するページサイズを指定します。

      他のすべての TAXII コレクションでは、 TAXII コレクションから取得されるページサイズは、対応するプロパティ [sn_sec_tisc.taxii.max_page_size] で定義された値にデフォルト設定されます。
      CrowdStrikeから一度にフェッチするレコードの数。数値が大きいほど、ペイロードの処理で消費されるメモリが多くなります。

      sn_sec_tisc.crowdstrike_api_limit
      • タイプ:整数
      • デフォルト値:1000
      1 回の API 呼び出しでプルされるインジケーターの数を示します。
      注:
      これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。

      sn_sec_tisc.crowdstrike_indicator_batch_size
      • タイプ:整数
      • デフォルト値:1000
      1 回の API 呼び出しでプルされるアクターの数を示します。
      注:
      これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。

      sn_sec_tisc.crowdstrike_actor_batch_size
      • タイプ:整数
      • デフォルト値:1000
      1 回の API 呼び出しでプルされるレポートの数を示します。
      注:
      これは、統合によってシステム内に必要なものが見つからない場合にのみ適用されます。

      sn_sec_tisc.crowdstrike_report_batch_size
      • タイプ:整数
      • デフォルト値:50
      CrowdStrike API からのオフセットと制限の許容合計。

      sn_sec_tisc.crowdstrike_offset_limit_total
      • タイプ:整数
      • デフォルト値:50000
      REST API のプロパティ
      観察事項フェッチ API の最大ページサイズ (応答の一部として返信される観察事項の最大数) を定義します。API の応答時間に影響する可能性があるため、高い値に増やすことはお勧めしません。

      sn_sec_tisc.api_maximum_page_size_limit
      • タイプ:整数
      • デフォルト値:1000
      観察事項追加 API の要求本文で送信できる観察事項の最大数を定義します。API の応答時間に影響する可能性があるため、高い値に増やすことはお勧めしません。

      sn_sec_tisc.add_obs_api_max_records
      • タイプ:整数
      • デフォルト値:100
      Webhook のプロパティ
      1 つの Webhook 要求の一部として送信できる最大イベント数。このプロパティで大きな値を設定しても、バッチサイズは 2000 に制限されます。

      sn_sec_tisc.webhook_max_event_batch_size
      • タイプ:整数
      • デフォルト値:100
      失敗した要求をエラーとしてマークして、次のイベントバッチに進むまでに要求を再試行する必要回数。このプロパティで大きな値を設定しても、再試行回数は 10 に制限されます。

      sn_sec_tisc.webhook_retry_count
      • タイプ:整数
      • デフォルト値:100
      失敗したバッチを再試行するまでの待機秒数。再試行回数に応じて指数関数的に増加します。たとえば、retry_count が 3 で retry_interval が 30 の場合、再試行は 30、60、120 秒後に開始されます。このプロパティで大きな値を設定しても、初回の再試行間隔は 300 秒 に制限されます。

      sn_sec_tisc.webhook_retry_interval
      • タイプ:整数
      • デフォルト値:30
      脅威スコアの再適用によってトリガーされる Webhook イベントを無視

      sn_sec_tisc.webhook_ignore_threat_score_reapply
      • タイプ:true | false
      • デフォルト値:true
      調査キャンバスのプロパティ
      値を true に設定すると、左上隅に新しいノードが追加されます。false の場合、キャンバスの中央に追加されます。

      sn_sec_tisc.canvas_suspend_reLayout
      • タイプ:true | false
      • デフォルト値:true
      CTI 形式でエクスポートするためのプロパティ
      STIX 2.1 ファイルにエクスポートできる最大行数

      sn_sec_tisc.stix_export_limit
      • タイプ:整数
      • デフォルト値:10000
      エクスポートファイルにジャーナルタイプフィールドを含めます。

      sn_sec_tisc.export_journal_fields
      • タイプ:true | false
      • デフォルト値:true
      脅威インテリジェンスの共有のプロパティ
      共有情報の編集を適用する場合に大文字と小文字を区別するのを有効または無効にします。

      (デフォルトでは、この値は false で、編集で大文字と小文字が区別されません)。

      注:
      このプロパティの値を false から true に、または true から false に変更すると、編集カテゴリと値テーブルからすべてのデータが削除されます。

      sn_sec_tisc.case_sensitive_for_redaction
      • タイプ:true | false
      • デフォルト値:false
      編集アップロードファイルで許容される最大行数。

      sn_sec_tisc.max_redaction_rows_import
      • タイプ:整数
      • デフォルト値:10000
      送信 TAXII サーバーのタイトル

      sn_sec_tisc.taxii_server_discovery_api_title
      • タイプ:文字列
      • デフォルト値:ServiceNow TAXII サーバー
      送信 TAXII サーバーの説明

      sn_sec_tisc.taxii_server_discovery_api_description
      • タイプ:文字列
      • デフォルト値:TAXII を介してサイバー脅威インテリジェンスを共有するためのディスカバリーエンドポイント
      送信 TAXII サーバーのデフォルトの API ルートのタイトル

      sn_sec_tisc.taxii_server_api_root_title
      • タイプ:文字列
      • デフォルト値:ServiceNow TAXII サーバー
      送信 TAXII サーバーのデフォルトの API ルートの説明

      sn_sec_tisc.taxii_server_api_root_description
      • タイプ:文字列
      • デフォルト値:TAXII を介してサイバー脅威インテリジェンスを共有するための SAPI ルートエンドポイント
      TAXIIサーバー API 応答のデフォルトのページサイズ

      sn_sec_tisc.taxii_server_api_response_page_limit
      • タイプ:整数
      • デフォルト値:100
      送信 TAXII サーバーコレクションに追加できるレコードの最大数

      sn_sec_tisc.taxii_server_collection_record_limit
      • タイプ:整数
      • デフォルト値:10000
      1 回の「 TAXII 収集に追加」要求で TAXII 収集に追加できるエンティティの最大数。システムでは、構成値の上限に関係なく、要求ごとに 10,000 エンティティというハード制限が適用されます。

      sn_sec_tisc.add_to_taxii_collection_entity_threshold
      • タイプ:整数
      • デフォルト値:1000
      タグ付けルールのプロパティ
      キーワードまたは正規表現 n タグ付けルールの大文字と小文字を区別する一致を有効または無効にします (デフォルトでは、これは選択されていない (いいえ) です。つまり、一致では大文字と小文字が区別されます)。

      sn_sec_tisc.case_sensitive_for_tagging_rules
      • タイプ:true | false
      • デフォルト値:false
    3. [ 保存] を選択して、プロパティに加えられた変更を適用します。

    次のタスク

    次の表で説明されているスケジュール済みジョブを参照してください。
    ジョブ 説明
    アグリゲートインジケーターソースレコード インジケーターソースレコードを集計します。
    アグリゲートオブジェクトソースレコード オブジェクトソースレコードを集計します。
    観察事項ソースレコードの集計 観測事象ソースレコードを集計します。
    古いインポートのクリーンアップ 古いインポートジョブレコードをクリーンアップします。
    キャンバスの未使用の新しいノードのクリーンアップ キャンバスの未使用の新しいノードをクリーンアップします。
    安全なファイルのダウンロードレコードをクリーンアップ 安全なファイルのダウンロードレコードをクリーンアップします。
    インジケーターソースレコードの重複排除 インジケーターソースレコードの重複排除を行います。
    オブジェクトソースレコードの重複排除 オブジェクトソースレコードの重複排除を行います。
    観察事項ソースレコードの重複排除 観測事象ソースレコードの重複を排除します。
    期限切れインジケーターを非アクティブ化 期限切れのインジケーターレコードを非アクティブ化します。
    期限切れのオブジェクトを非アクティブ化 期限切れのオブジェクトレコードを非アクティブ化します。
    期限切れの観察事項を非アクティブ化 期限切れの観測事象レコードを無効化します
    TI から TI へのデータの移行 TISC 処理待ちの移行ジョブ実行レコード
    インジケーターソースレコードの集計レコードを入力 新しく作成されたインジケーターソースレコードの親集計レコードを識別します
    オブジェクトソースレコードの集計レコードに入力 新しく作成されたオブジェクトソースレコードの親集計レコードを識別します。
    観測事象ソースレコードの集計レコードに入力 新しく作成された観測事象ソースレコードの親集計レコードを識別します。
    TI での参照 TISC 入力 TI 観察事項レコード内の集計された観察事項 TISC 参照を入力します。
    承認されたインポートを処理 承認されたインポートジョブを処理します。
    インポートされた MISP DSM キューレコードを処理 処理済みのステージング済み MISP フィード取り込みキューレコード。
    インポートされた MISP インジケーターインポートキューレコードを処理 インポートインテリジェンスから取り込まれたデータをステージング MISP プロセス
    インポートされた STIX インポートキューレコードを処理 インポートインテリジェンスから取り込まれたデータをステージング STIX プロセス
    インポートされた STIX インポートキューレコードを処理:取り込み 脅威フィードから取り込まれたデータをステージング STIX プロセス。
    処理待ちのケースアーティファクトの移行 ケースアーティファクトを脅威インテリジェンスアプリケーションから脅威インテリジェンスセキュリティセンターに移行します。
    処理待ちの脅威ソースの取り込みキューレコード 処理待ちのソース取り込みキューレコードを処理します。
    脅威スコア算出のキューに格納されたエンティティを処理 処理待ちの脅威算出キューエントリーを処理します
    プロセスキューに格納された MISP DSM キューレコード 脅威フィードから取り込まれたデータをキューに入れ MISP プロセス
    キューに格納されたプロセス MISP インジケーターインポートキューレコード インポートインテリジェンスから取り込まれた MISP データをキューに格納するプロセス
    キューに格納されたプロセス STIX インポートキューレコード:取り込み 脅威フィードから取り込まれたデータをキューに入れ STIX プロセス。
    キューに格納されたプロセス STIX インジケーターインポートキューレコード インポートインテリジェンスから取り込まれた STIX データをキューに格納するプロセス
    Webhook キューを処理 処理待ちの Webhook キューレコードを処理します。
    ソースレコードを再集計 集計レコードが削除されるソースレコードを再集計します。
    フィルタリングされたソースレコードを削除 フィルタリングされたソースレコードをクリーンアップします
    CrowdStrike統合プロセスチェッカーを再開/再処理CrowdStrikeソースレコード レート制限を待機している CrowdStrike フィード統合実行を再開します / リレーションシップを集計するためにソースレコードを再処理します
    誤検出観察事項数を同期 観察事項の誤検出数をソースごとのフラグズ陽性数と同期します
    TISC Webhook バッチを作成 処理用にキューに入れられた Webhook キューエントリーのバッチを作成しました
    TISC Webhook を開始 保留中の Webhook バッチを実行します
    関係を更新しています アーカイブ済み列 関係ソースレコードとターゲットレコードのアーカイブステータスを更新します