このセクションを使用して、観測事象やオブジェクトなどの新しいエンティティを調査キャンバスから直接作成および追加します。
始める前に
この機能を使用すると、現在のビューから移動することなく、キャンバスをすばやく拡張できます。
必要なロール:sn_sec_tisc.analyst
手順
-
移動先 .
-
脅威アナリストワークベンチアイコンを選択します。
-
検索項目 .
-
任意のケースレコードを開きます。
注: ケースを作成するときは、キャンバスを作成するか、既存のキャンバスをリンクする必要があります。リンク後、新しいノードを追加するオプションを含むキャンバスアクションがユーザーインターフェイスで自動的に使用できるようになります。
-
選択 .
- ケースの空の[調査キャンバス] セクションのドロップダウンリストから、新しいノード機能を表示することもできます。
- 新しいノード機能を表示するもう 1 つのオプションは、調査キャンバスページから直接表示することです。
-
ノードを作成するには、適切な エンティティカテゴリ と エンティティタイプを選択します。
| フィールド | 説明 |
|---|
| エンティティカテゴリ |
[観測事象] や [オブジェクト] などのエンティティカテゴリを選択します。 |
| エンティティ タイプ |
選択したカテゴリに基づいて、利用可能なオプションからエンティティタイプを選択します。
注:
- エンティティタイプを選択すると、対応するオブジェクトフォームが自動的に表示され、[名前] や [説明] などのキーフィールドと、親エンティティを識別するために必要な必須フィールドが表示されます。
- 重複エンティティを作成しようとすると、つまり、アプリケーションに存在するエンティティを選択して同じ値を持つエンティティを作成しようとすると、そのエンティティが同じ値とタイプを持つエンティティが脅威インテリジェンスライブラリに既に存在することを示すエラーメッセージが表示されます。
|
-
名前や説明など、オブジェクトに必要な詳細を入力します。
-
[ 追加 ] を選択して、新しいノードを追加します。
このプロセスでは、ノードが調査キャンバスに自動的に追加されます。
新しく追加されたノードは、ノード上のドット 
によって視覚的に区別され、ライブラリまたはケースのアーティファクトを介してインポートされたノードと区別されます。
重要: 新しく追加されたノードは一時的なものであり、脅威インテリジェンスのライブラリまたはキャンバスには保存されません。保存する前にキャンバスを更新すると、これらのノードは失われます。変更を保持するには、新しいノードを追加した後に必ずキャンバスを保存してください。
-
新しいノードを右クリックし、[ 関係の追加] オプションを選択して、ノード間の関係を作成します。
注:
- 新しい関係を作成すると、エッジは点線で表示され、一時ノードであり、脅威インテリジェンスライブラリに保存されないことが示されます。
- 新しく追加されたエッジは一時的なものであり、脅威インテリジェンスのライブラリまたはキャンバスには保存されません。保存する前にキャンバスを更新すると、これらのエッジは失われます。変更を保持するには、新しいエッジを追加した後に必ずキャンバスを保存してください。
-
右クリックして [詳細を表示] を選択し、選択したエンティティに関連する詳細を表示します。
注: データを追加するには、詳細ペイン内のハイパーリンクをクリックするか、[ レコードを開く] オプションを選択して必要なノード関連データを追加します。
-
[ ライブラリにデータを追加 ] オプションを選択して、調査中に追加されたすべてのノードとエッジを保存します。
このアクションを実行すると、一時レコードが脅威インテリジェンスライブラリ内の永続的な集計レコードに変換されます。