信頼できるパートナーとのハイリスク IOC の自動共有

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:2分

    • 信頼できるパートナーとのハイリスク IOC の共有を自動化する方法を学びます。

    始める前に

    必要なロール:
    • システム管理者 (表示、作成、編集)
    • sn_sec_tisc.admin (表示)

    このタスクについて

    信頼できるパートナーとの高リスク IOC の自動共有は、次の場合にのみトリガーされます。
    • 観測事象のタイプがドメイン名、IPv4 アドレス、または IPv6 アドレスである。
    • 観測事象のステータスが「処理済み」である。

    手順

    1. 移動先 すべて > 脅威インテリジェンスセキュリティセンター > アドミニストレーション.
    2. 選択 自動フロー.
    3. [ 信頼できるパートナーと高リスク IOC の自動共有] アクションリンクを選択して、フローデザイナーでそれぞれのルールの詳細を表示します。
    4. 次のトリガーのフローデザイナーアクションを表示します。 
      Daily at 12.00.00
Run every day once
    5. アクション:
      1. [システムプロパティレコードを検索] および [送信インテリジェンスの参照] しきい値の制限: 
        Look Up System Property Record where (Name is sn_sec_tisc.shared_intelligence_entity_threshold).
      2. IOC タイプ = IP、ドメイン、ハッシュ。評判 = 悪意がある ;信頼度 >= 80 または脅威スコア >=80。 
        Look Up Observable Records where (Type is IP address (V4), or Type is IP address (V6), or Type is Domain Name, or Type is MD5 hash; and Confidence greater than 80, and Reputation is Malicious, and Processing Status is Processed, and Updated on Yesterday) IOC type = IP, Domain, Hash; Reputation = Malicious ; confidence >= 80 or Threat Score >=80.
    6. 送信インテリジェンスレコードに追加できるレコードのしきい値が満たされている場合:
      1. システムは、レコードを処理のために自動送信インテリジェンスアクションに自動的に渡します。
      2. この高リスク IOC を信頼できるパートナーと共有するためのフローを終了します。
    7. レコード数が 0 より大きい場合、残りのレコードが処理されます。
      例:

      定義されたしきい値制限が 1000 で、合計 2030 件のレコードを処理する場合:

      • 送信インテリジェンスレコード #1 は、最初の 1000 レコードで作成されます。
      • 送信インテリジェンスレコード #2 が、次の 1000 レコードで作成されます。
      • 送信インテリジェンスレコード #3 が残りの 30 レコードとともに作成されます。

      このバッチ処理プロセスにより、すべてのインテリジェンスレコードを効率的に処理しながら、しきい値制限が遵守されます。

    8. この高リスク IOC を信頼できるパートナーと共有するためのフローを終了します。
      TISC での自動 IOC エンリッチメント。