MISP での観測事象の拡張

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:11分

    • インシデント応答の調査中にさまざまな MISP ソースからの追加情報で観測事象を拡張することによって、識別された脅威を封じ込めることができます。

    MISP で観測事象の自動拡張を有効にする

    新しい観測事象がセキュリティインシデントに関連付けられた場合、ServiceNow AI Platform MISP で観測事象の自動拡張を有効にします。

    始める前に

    • [スケジュール済みジョブを有効または無効にし、セキュリティインシデントの観測事象をルックアップします]オプションの セキュリティインシデントレスポンス システムプロパティを有効にして、SIR の観測事象の拡張機能をトリガーします。
    • 必要なロール:sn_si.analyst

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. MISP で観測事象データを拡張する観測事象を含んでいるセキュリティインシデントを選択します。
    3. 新しい観測事象がセキュリティインシデントに関連付けられた後、作業メモを確認します。

      次の例は、[Security Operations Integration - 観測事象を拡張] フローがトリガーされたときに、作業メモが投稿されることを示しています。

      観測事象の拡張ステータスの作業メモを表示します。

    4. セキュリティインシデントの MISP エンリッチメント結果関連リストに、フローの実行が完了した後にエンリッチメント結果を表示します。
      実行が完了した後、観測事象の拡張ステータスの作業メモを表示します。
      注:
      MISP エンリッチメント結果関連リストがセキュリティインシデント関連リストに表示されるように設定する必要があります。詳細については、「related list configuration (関連リストの設定)」を参照してください。
      次の例は、MISP のエンリッチメント結果を示しています。
      [MISP エンリッチメント結果] タブでエンリッチメント結果を表示します。
      次の表は、MISP のエンリッチメント結果を示しています。
      表 : 1. MISP エンリッチメント結果
      フィールド 説明
      イベント イベントの ID。[開く] をクリックして、ServiceNow AI Platform インスタンスでレコードを表示します。
      Org 最初にイベントを作成した組織。
      観測事象 イベントに関連付けられている観測事象。
      カテゴリ 属性のカテゴリ。

      MISP ドキュメントのカテゴリリストを表示します。
      タイプ 属性のタイプ。

      MISP ドキュメントのタイプリストを表示します。
      MISP タグ MISP 属性に関連付けられているタグのリスト。
      MISP Galaxies MISP 属性に関連付けられているギャラクシーのリスト。
      コメント 属性を詳しく説明するコンテキストコメント。これらのコメントは相関には使用されず、単なる情報提供のためのものです。
      IDS すべての対象エクスポートに含めることができる、セキュリティ侵害のインジケーター。
      配布 公開後の属性の配布。属性には、イベントとは異なる配布レベルを設定できます。いずれの場合も、最も低い配布レベルが使用されます。
      MISP イベントへのハイパーリンク MISP サーバーに保存されている MISP イベントへのリンク。
      統合ベンダー 拡張用のデータを提供する統合ベンダー。
      生データ MISP 属性に関連付けられている生データ。

    MISP における観測事象の手動拡張の実行

    個々のまたは複数の観測事象を選択し、手動で観測事象の拡張を行うことで、様々な MISP ソースからの追加情報で観測事象を拡張できます。

    始める前に

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. 拡張を実行する観測事象を含んでいるセキュリティインシデントを選択します。
    3. [すべての関連リストを表示][関連する観測事象 (Associated Observables)] タブをクリックします。
    4. [アクション] メニューから観測事象を選択し、[観測事象の拡張を実行] をクリックします。
      サイティング検索では複数の観測事象を選択できます。
      [観測事象の拡張を実行] ダイアログボックスが表示されます。
    5. MISP ソースを選択し、[選択済み (Selected)] 列で、選択した観測事象を拡張する実装を選択します。
    6. [Submit] をクリックします。
      作業メモは、[Security Operations Integration - 観測事象を拡張] ワークフローがトリガーされたことを示しています。関連する実装ワークフローによって、拡張が実行されます。セキュリティインシデントの作業メモを表示して、ステータスを確認できます。

      次の例は、手動での観測事象拡張の作業メモを表示する方法を示しています。

      図 : 1. 手動での観測事象拡張に関する作業メモ
      手動での観測事象拡張に関する作業メモを表示します。
      拡張メッセージには、作成されたイベントが一覧表示されます。ServiceNow AI Platform または MISP インスタンスでイベントを表示し、[MISP 拡張結果] タブでレコードの詳細を表示できます。

    MISP 属性に対するタグの追加または削除

    MISP のタグを追加または削除して、イベントや属性を分類します。タグ付けをグローバルに使用して分類を有効にするか、分類中に MISP イベントを変更しない場合はローカルにタグを使用することができます。

    始める前に

    • 次のものをレビュー MISP ユーザーロールと権限 MISP双方向機能を使用するためのもの。
    • 編集する属性が、MISP ユーザーと同じ組織に属していることを確認します。
    • 利用可能なタグとギャラクシーは、MISP ソースとその配布権限に基づくものです。
    • 必要なロール:sn_sec_misp.write

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. タグを追加する観測事象、属性、またはイベントを含んでいるセキュリティインシデントを選択します。
    3. [すべての関連リストを表示] および [MISP 拡張結果] 関連リストをクリックします。
    4. レコードの横にある [プレビュー] アイコンプレビューアイコンをクリックし、[レコードを開く] をクリックします。
      次の例は、[MISP 拡張結果] を確認する方法、および MISP 拡張レコードを開く方法を示しています。
      図 : 2. MISP 拡張結果レコード
    5. MISP 拡張結果レコードを確認します。
      表 : 2. MISP 拡張結果
      フィールド 説明
      観測事象
      イベント イベントが最初に作成されたとき、または MISP にインポートされたときに、MISP サーバーによってアサインされたイベント ID。

      イベントを確認するか、レコードをクリックして、MISP イベントデータページでイベントデータを表示します。
      Org MISP 属性を作成した組織。
      カテゴリ MISP で特定のイベントに追加する属性のカテゴリ。内部参照、ネットワークアクティビティ、金融詐欺などのオプションを選択できます。
      タイプ MISP 属性のタイプ。
      統合ベンダー 観測事象拡張用のデータを提供する統合ベンダー。
      作成日 (MISP) イベントが最初に作成された、または MISP にインポートされた日付。
      IDS SIR で観測事象が悪意があるとしてマークされているかどうかのステータス。MISP の対応する属性も true としてマークされます。
      配布 公開後にこのイベントを表示できるユーザーなど、配布オプションを制御できます。このオプションは、イベントを他のサーバーに同期するかどうかも制御します。属性によって配布が受け継がれ、最も制限の多い設定が優先されます。配布オプションは次のとおりです。
      • [自分の組織のみ (Your organization only)]:組織のメンバーのみがこのイベントを表示できるようにします。イベントは、組織のメンバーの 1 人が別のインスタンスにプルして、組織だけが閲覧できるようにすることができます。この設定のイベントは同期されません。
      • [このコミュニティのみ (This community only)]:自分の組織、この MISP サーバー上の組織、およびこのサーバーと同期する MISP サーバーを実行している組織を含む、MISP コミュニティの一員であるユーザーがイベントを表示できるようにします。これらのリンクサーバーに接続されている他の組織は、イベントの表示が制限されます。
      • [接続されたコミュニティ]:この MISP サーバー上のすべての組織、このサーバーと同期する MISP サーバー上のすべての組織、および 2 ホップ離れたサーバーに接続するサーバーのホスト組織など、MISP コミュニティの一員であるユーザーがイベントを表示できるようにします。2 ホップ離れた、リンクサーバーに接続されている他の組織は、イベントの表示が制限されます。
      • [すべてのコミュニティ]:すべての MISP コミュニティとイベントを共有し、イベントを自由に利用できるようにします。
      MISP イベントへのハイパーリンク MISP サーバーに保存されている MISP イベントへのリンク。
      生データ 観測事象の拡張データレコードの生の詳細。
      コメント 属性に追加するコメント。これらのコメントは情報提供のみを目的としており、相関には使用されません。
      タグ (ローカル) ホスト組織の MISP インスタンスで利用可能なタグで、同期とエクスポートのフィルタリングのためのタグ付けを可能にします。ローカルタグを使用しても、MISP イベントは変更されません。これらのタグは、他の MISP インスタンスや共有コミュニティと同期される前に、常に削除されます。
      タグ (グローバル) グローバルで利用可能なタグで、他の MISP インスタンスや共有コミュニティと共有および同期されます。MISP インスタンスにグローバルタグを追加すると、イベントが変更されます。
      ギャラクシー (ローカル) 同期とエクスポートのフィルタリングのために、ホスト組織の MISP インスタンスで利用可能なギャラクシーです。ローカルギャラクシーを使用しても、MISP イベントは変更されません。これらのギャラクシーは、他の MISP インスタンスや共有コミュニティと同期される前に、常に削除されます。
      ギャラクシー (グローバル) グローバルで利用可能なギャラクシーで、他の MISP インスタンスや共有コミュニティと共有および同期されます。グローバルギャラクシーを追加すると、MISP イベントが変更されます。
    6. ローカルタグまたはグローバルタグのいずれかを編集するには、次のオプションのいずれかで、[編集] アイコン編集アイコンをクリックします。
    • タグ (ローカル)
    • タグ (グローバル)
    1. [MISP 属性タグ (MISP Attribute Tags)] ダイアログボックスで、検索して追加するタグの名前を入力します。
    2. [タグを MISP 属性に更新] をクリックします。

      次の例は、ローカルタグの [編集] アイコンをクリックすることで、C3、アドウェア、C2、およびボットネット 3101 のタグを検索して追加し、MISP サーバーのタグを更新できることを示しています。確認メッセージは、MISP のすべてのタグが更新されたことを示しています。

      MISP サーバーでタグが正常に更新されました。
    3. レコードの変更を表示するには、成功メッセージで [フォームのリロード] をクリックします。

    MISP イベントまたは属性に対するギャラクシーの追加または削除

    MISP のギャラクシーを追加または削除して、これらのオブジェクトを MISP のクラスターとして分類し、MISP イベントまたは属性に添付できるようにします。

    始める前に

    • 次のものをレビュー MISP ユーザーロールと権限 MISP双方向機能を使用するためのもの。
    • ローカルギャラクシーを追加するには、統合を設定したユーザーが、対応する MISP サーバーのホスト組織に属している必要があります。
    • 利用可能なタグとギャラクシーは、MISP ソースとその配布権限に基づくものです。
    • 必要なロール:sn_sec_misp.write

    手順

    1. 次のいずれかのオプションで、[編集] アイコン編集アイコンをクリックします。
    • ギャラクシー (ローカル)
    • ギャラクシー (グローバル)
    1. [MISP イベントギャラクシー (MISP Event Galaxies)] ダイアログボックスで詳細を入力します。
      表 : 3. [MISP イベントギャラクシー (MISP Event Galaxies)] ダイアログボックス
      フィールド 説明
      イベント ID イベントが最初に作成されたとき、または MISP にインポートされたときに、MISP サーバーによってアサインされたイベント ID。
      名前空間 ギャラクシーが保存されている名前空間。名前空間を使用して、類似のギャラクシーをグループ化できます。
      ギャラクシー クラスター情報を保存するギャラクシー。
      クラスター ギャラクシー内のクラスターに関する情報。
    2. [ギャラクシーを MISP 属性に更新 (Update Galaxies to MISP Attribute)] をクリックします。
      次の例は、ローカルのギャラクシーの [編集] アイコンをクリックすることで、廃止された名前空間を選択し、[エンタープライズ攻撃 - 攻撃パターン] ギャラクシーを選択して、クラスター情報を追加できることを示しています。ギャラクシー情報が更新されると、成功メッセージが確認できます。

    3. レコードの変更を表示するには、成功メッセージで [フォームのリロード] をクリックします。

    タスクの結果

    MISP サーバーでギャラクシー情報が正常に更新されました。

    MISP 属性にコメントを追加する

    MISP 属性にコメントを追加します。追加するコメントは情報提供のみを目的としており、MISP データの相関には使用されません。

    始める前に

    手順

    1. [コメント] フィールドの [編集] アイコン編集アイコンをクリックします。
    2. [属性コメント] フィールドにコメントを入力します。
    3. [コメントを MISP 属性に更新] をクリックします。
      次の例は、[コメント] フィールドの隣にある [編集] アイコンをクリックすることで、コメントを追加し、MISP 属性を更新できることを示しています。コメントが更新されると、成功メッセージが確認できます。

    4. レコードの変更を表示するには、成功メッセージで [フォームのリロード] をクリックします。

    タスクの結果

    MISP サーバーでコメントが正常に更新されました。