GUI からの送信インテリジェンスレコードの共有

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:9分

    • このセクションでは、ユーザーが TISC アプリケーション内の脅威インテリジェンス (TI) ライブラリから直接インテリジェンスレコードを共有できるようにする機能の概要を説明します。

    始める前に

    必要なロール:
    • sn_sec_tisc.analyst
    • sn_sec_tisc.admin

    このタスクについて

    共有テンプレートへのアクセスは、各テンプレート内で定義された複数の制限によって管理されます。これらの制限では、テンプレートをすべてのユーザーが使用できるようにするか、特定のユーザーまたはユーザーグループに制限するかを指定します。したがって、ユーザーが インテリジェンスの共有 プロセスを開始すると、これらの設定で許可されているテンプレートのみが表示されます。

    アナリストロールを持つユーザーのみが、GUI から外部システムとインテリジェンスデータを共有できます。インテリジェンス共有機能は、観測事象、インジケーター、オブジェクト (攻撃パターンや攻撃者など) を含む、他のさまざまな脅威インテリジェンスライブラリエンティティにも適用されます。

    観測事象レコードのフォームビューからインテリジェンスを共有する手順は次のとおりです。

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 脅威インテリジェンスライブラリ > 観察事項 > すべての観察事項.
    2. 任意の観測事象レコードを開きます。
    3. [ インテリジェンスを共有 ] ボタンをクリックします。
      [送信インテリジェンステンプレートを選択] ダイアログボックスが表示されます。
    4. ルックアップから必要な送信インテリジェンステンプレートを選択します。
      注:
      デフォルトのテンプレート包含 (テーブルと属性) を表示 ハイパーリンクを使用すると、含まれているすべての属性を表示できます。
    5. [ 選択したインテリジェンスの関連レコードも自動的にリンクする] チェックボックスをオンにすると、関連レコードが共有レコードに自動的にリンクされ、詳細が保存されます。
    6. [送信] を選択します。
      インテリジェンス共有のためにレコードを送信すると、アクセス可能なテンプレートのみが表示されます。
      1. データ除外ルールの構成:データ除外ルールで定義された基準に一致するレコードが除外されます。詳細については、「送信インテリジェンスデータ除外ルールの設定」を参照してください。
      2. 選択した共有テンプレートコントロール:レコードは、選択した共有テンプレートで定義されたコントロールに従ってフィルタリングされます。詳細については、「送信インテリジェンス共有テンプレートの構成」を参照してください。

      これらの構成基準に基づいて、関連するレコードは共有から除外されます。

    7. [ 選択 ] をクリックして、送信インテリジェンス共有レコードを作成します。
      必要に応じて、必要な変更を行います。
    8. [ 保存 ] をクリックして、変更した値を 送信インテリジェンスデータ フォームに保存します。
    9. [ 送信] を選択して、送信用の共有レコードを送信します。
      共有レコードの [詳細 ] セクションでは、[送信インテリジェンス共有テンプレート] ページの [ 事前入力 ] に設定されている値がアプリケーションによって自動的に入力されます。詳細については、「送信インテリジェンス共有テンプレートの構成」を参照してください。
      注:
      送信インテリジェンスレコードのシステムプロパティは次のとおりです。
      名前 説明
      shared_intelligence_entity_threshold レコードしきい値制限:このプロパティは、単一の送信インテリジェンスレコードに含めることができる個々のレコードの最大数を制御します。
      • デフォルトの制限は 1000 レコードです。
      • 最大レコード数は 10000 レコードです。
      shared_intelligence_exclusion_work_notes_count 除外レコード制限:このプロパティは、アクティビティストリームの作業メモごとに表示される行数を制御します。
      • デフォルト:作業メモあたり 10 行。
      • 最大:作業メモあたり 100 行。

      行数が指定された制限を超えた場合、レコードは読みやすさとユーザーエクスペリエンスを確保するために複数の作業メモに分割されます。
    10. [ インテリジェンスレコード] セクションに移動します。
      このセクションには、選択した共有レコードの一部であるすべてのインテリジェンスレコードが表示されます。
    [インテリジェンスレコードの表示] セクション:
    注:
    インテリジェンス共有レコードセクションは、共有レコードが [ドラフト ] ステータスの場合にのみ表示され、共有レコードが [処理済み]、[ 承認待ち ] などの他のステータスの場合は表示されません。
    レコードの一部としてグループ化および共有されている観測事象、オブジェクト、および関連エンティティの完全なリストを表示できます。
    [インテリジェンス共有レコード] セクションにアクセスすると、そのレコードに関連付けられたすべてのインテリジェンスエンティティの構造化されたビューがページの左側のパネルに表示されます。
    • テンプレート構成:このビューに表示されるエンティティテーブルは、共有レコードに関連付けられた共有テンプレートで定義された共有コントロールに基づいています。
    • エンティティのグループ化:最初の高レベルのグループ化は観測事象です。また、ファイル、IP アドレス、その他の関連タイプなどの子レベルの観測事象も表示されます。[観測事象] の後にインジケーターとオブジェクトもリストされます。
    • 関係:共有エンティティ間の関係を表示します。6 つの異なるタイプの関係が表されており、それぞれが明確さと構造のために対応する関係テーブルに整理されています。
    注:
    リストを少なくとも 1 つのレコードで表示 は、データを含むエンティティテーブルのみをすばやくフィルタリングして表示するために使用できるトグルです。
    1. [ 列の編集 ] をクリックして、リストビューの列を変更します。
      [ 列の選択 ] ダイアログボックスが表示され、リストビューに表示する列を設定できます。
    2. さらに、レコードの詳細を変更する場合は、[ レコードの変更] を選択します。
      このアクションを選択すると、1 つ以上のレコードを変更できます。1 つ以上のレコードを変更する場合、または一括編集を行う場合、レコードのオプションのフィールドのみを変更できるとします。一括編集オプションを選択すると、フィールドのすべての値がクリアされます。値を指定して [保存 ] を選択すると、それらの値は選択したすべてのレコードに適用されます。
      注:
      インテリジェンスレコードセクションに存在するエンティティレコードに加えられた変更は、対応するライブラリレコードには適用されません。たとえば、攻撃パターンの説明を変更すると、この変更は脅威インテリジェンスライブラリ内の対応する攻撃パターンに影響します。
    3. [ 追加 ] をクリックしてレコードを共有レコードに追加すると、選択したレコードが正常に追加されたことを示す確認が表示されます。
      注:
      レコードを共有するために除外ルールが構成されている場合、除外ルールの基準を満たす選択されたレコードは自動的にスキップされます。これらのレコードはインテリジェンスレコードに追加されません。ユーザーに通知する適切なエラーメッセージが表示され、除外されたレコードに関する詳細情報がアクティビティストリームに記録されます。
    4. [ 削除] をクリックして、共有レコードからレコードを削除します。
    5. [ 編集を有効にする] ボタンを選択して、共有レコードの編集を有効にします。
      編集を有効にする
      注:
      編集ライブラリを有効にするには、必ず編集ライブラリを構成してください。詳細については、「編集ライブラリでの作業」を参照してください。

      [編集を有効にする] オプションを使用すると、インテリジェンスレコードを共有する前に機密コンテンツを編集することで、機密情報を自動的に削除またはマスクできます。編集を有効にすると、機密データが保護され、インテリジェンスの共有中に公開されることはありません。

      このオプションを有効にすると、右側のコンテキストメニューに [ 編集ライブラリ] アイコンが表示され、[ 管理 ] セクションの編集ライブラリで定義されているすべての利用可能な編集カテゴリと編集カテゴリ値のリストにアクセスできます。

      例:Service_Now などの組織名を編集していて、Service_NowOrganization_Nameカテゴリの下に編集カテゴリ値として追加されている場合、出現するすべてのService_Nowが次の形式で置き換えられます。

      #{Organization_Name}# です。

      [編集] オプションを有効にすると、共有前に組織名が自動的に編集されます。次のスクリーンショットは、編集されたカテゴリ値を示しています。

      編集カテゴリ値
    6. [ レビュー ] セクションに移動して、選択した共有レコードのインテリジェンスレコードをレビューします。
    7. オプション: 必要に応じて、[ 編集を無効化 ] を選択して共有レコードの編集を無効にします。
    インテリジェンスレコードをレビュー
    1. [ レビュー ] セクションに移動して、共有レコードのレコードを確認します。
      [ レビュー ] セクションには、インテリジェンス共有に含まれるすべてのエンティティを要約したスナップショットビューがあります。レコードには、次のクイックサマリーが表示されます。
      • 詳細:共有レコードの詳細を読み取り専用モードで表示します。
      • 共有エンティティ属性:共有レコードに関連付けられた共有テンプレートで定義された共有コントロールを表示します。
      • 除外ルール:構成された除外ルールを表示します。
      • 編集ライブラリ: [管理 ] セクションで構成された編集ライブラリを表示します。詳細については、「編集ライブラリでの作業」を参照してください。
    2. [ レビュー ] セクションで必要な変更を行い、[ 送信 ] をクリックして送信します。
      処理のためにレコードを送信するかどうかを確認するメッセージが表示され、続行する場合は [送信] を選択します。

      送信すると、送信インテリジェンス共有レコードの ステータス[ドラフト] から [承認待ち] に変わります。送信インテリジェンスの承認ルールが構成されている場合にのみ、 ステータス が [ 承認待ち] に変更されます。詳細については、「送信インテリジェンスの承認ルールの定義」を参照してください。

    3. [ 承認 ] ボタンを選択して、送信インテリジェンスレコードを承認します。
    4. 必要に応じてコメントを追加し、[送信インテリジェンスの承認] ダイアログボックスで [承認] を選択します。
    5. また、[ 却下 ] ボタンを選択して送信インテリジェンスレコードを却下します。
    6. 理由を入力し、[送信インテリジェンスの却下] ダイアログボックスで [却下] を選択します。

      却下すると、送信インテリジェンス共有レコードの [ステータス ] が [ 却下] に変わります。

      注:
      [ 編集] ボタンを選択し、却下コメントに基づいて必要な変更を加えます。レコードを編集して再送信することを選択すると、 ステータス[ドラフト ] に戻ります。

      承認ルールが定義されていない場合、またはレコードが既に承認されている場合、送信インテリジェンス共有レコードは [ 処理待ち] ステータスに移行します。この段階では、インテリジェンスデータが外部で共有され、その後、ステータスが [処理済み] に更新されます。詳細については、「送信インテリジェンスの承認ルールの定義」を参照してください。

    7. [ 公開済みジョブ ] に移動して、共有レコードの公開済みジョブを表示します。
      アウトバウンドインテリジェンスプロファイルごとに公開済みジョブがあり、これらの公開済みジョブを使用して ステータス を追跡できます。

      詳細については、公開済みジョブのいずれかをクリックすると、[ ペイロード]、[ ステータス] などのジョブの詳細が表示されます。

      対応するエンドポイントへのデータの送信中に受信側で問題が発生した場合、アプリケーションはデフォルトで最大 5 回まで自動的に再試行します。再試行回数を変更するには、次のシステムプロパティを使用して値を変更します。

      sn_sec_tisc.shared_intelligence_retry_count