このセクションを使用して送信共有コントロールを構成します。これにより、 TISC から外部システムへのインテリジェンス共有が有効になるエンティティが決定されます。
始める前に
必要なロール:sn_sec_tisc.admin
手順
-
移動先 .
-
送信 インテリジェンス共有コントロールを選択します。
送信インテリジェンス共有コントロールは、ベースシステムにプロビジョニングされたデフォルトの共有コントロールです。デフォルトでは、このコントロールは
[公開済み] ステータスに設定されています。
注:
- これらは高レベルの共有コントロールであり、後でインテリジェンス共有テンプレート内で使用できます。
- 送信共有コントロールで実行されたすべてのアクションが記録され、作成、変更、または削除された各エンティティのアクティビティストリームに作業メモが投稿されます。
共有コントロールの編集:
-
デフォルトの共有コントロールレコードを変更する場合は、[ 編集 ] を選択して必須フィールドを変更します。
共有コントロールレコードを編集するたびに、すべてのテンプレートを無効にし、続行する前に処理待ちの送信インテリジェンス共有レコードがないことを確認することを示す検証メッセージが表示されます。
上記の検証が成功すると、最初にこれらの設定を無効にせずに続行すると、これらの設定に基づく自動化フローが失敗する可能性があることを示す別の警告メッセージが表示されます。
警告: 関連する自動化フローを最初に無効にせずにこれらの設定を編集すると、エラーが発生する可能性があります。続行しますか?
このリスクを確認し、続行する場合は、共有コントロールを変更できます。
エンティティレベルの共有コントロールの管理:
-
[ 共有コントロール ] セクションに移動して、エンティティで利用可能なすべての共有コントロールを表示します。
デフォルトでは、観測事象、インジケーター、オブジェクトなど、アプリケーションに存在するすべての脅威インテリジェンスライブラリエンティティが含まれます。
-
任意のエンティティを選択して、その必須属性とオプション属性を表示します。
[ エンティティと属性を編集 ] ダイアログボックスが表示されます。
エンティティの追加または削除:
-
エンティティを削除する場合は 、[エンティティを削除 ] を選択します。
この
[エンティティを削除 ] アクションではエンティティが削除され、アウトバウンドインテリジェンス共有から自動的に除外されます。削除すると、エンティティは
TISC 内での共有に使用できなくなり、削除すると、共有コントロールの一部としてこのエンティティを持つすべてのテンプレートからエンティティが自動的に削除されます。
さらに、[ すべての属性を削除 ] (ダイアログボックスの下部にあるゴミ箱アイコン) を選択して、オプションの属性をすべて削除します。これらの属性を削除すると、対応するインテリジェンス共有テンプレートに直接影響します。
注:
- 選択したエンティティを含む送信共有テンプレートがある場合は、[ エンティティと属性の編集 ] ダイアログボックスに警告メッセージが表示され、選択したエンティティまたはその属性を削除すると、それらが現在含まれている {#total 個のテンプレート数} 送信インテリジェンス共有テンプレートから自動的に除外されることが示されます。影響を受けるテンプレートは、[ エンティティと属性を編集 ] ダイアログボックス自体に一覧表示されます。
- 影響を受けるテンプレートのリスト (例: IOC 共有テンプレートがレビュー用に表示されます。
- 外部システムと共有したくない特定のエンティティがある場合は、共有コントロールから削除できます。
- インテリジェンス送信共有テンプレートを作成または変更するときは、共有コントロール内で構成されたエンティティのみを選択できます。
-
選択したエンティティのすべてのオプション属性をアウトバウンドインテリジェンス共有に含めるには、[ すべてのオプション属性を追加] を選択します。
-
共有コントロールに必要な変更を加えたら、[ 公開] を選択して共有コントロールを公開します。
次のタスク
GUI と自動手順の両方を使用した外部インテリジェンス共有のガイダンスについては、次のセクションを参照してください。