Have I Been Pwned 拡張統合を実行

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • メールアドレスまたはドメイン名観測事象に対して Have I Been Pwned (HIBP) 拡張を実行して、既知のデータ侵害に関与しているかどうかを判断します。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    Have I Been Pwned 統合がアドミニストレーターによって構成され、有効になっていることを確認してください。詳細については、「Have I Been Pwned 統合の構成と有効化」を参照してください。

    このタスクについて

    この統合は HIBP データベースにクエリを実行して、送信された観測事象が既知のデータ侵害で公開されたかどうかを識別します。
    注:
    統合では、次の観測事象タイプのみがサポートされています。
    • メールアドレス
    • ドメイン名

    IP アドレスやファイルハッシュなどのサポートされていない観測事象タイプを送信すると、観測事象が拡張から除外され、観測事象タイプがサポートされていないことを示すアラートメッセージが表示されます。許可リストにある観測事象も送信から除外されます。

    複数の観測事象を操作する場合は、個々の観測事象レコードから、またはケースの [アーティファクト ] タブから拡張を開始できます。

    手順

    1. 拡張する観測事象レコードに移動します。
      1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 脅威インテリジェンスライブラリ をクリックし、脅威インテリジェンスライブラリから任意の観測事象レコードを開きます。

        TISC 観測事象フォームビュー

      2. (または) ケースを開き、[ アーティファクト ] タブに移動して、[ケース] から [観測事象 ] 関連リストを選択して、観測事象の拡張を実行します。
        TISC ケースアーティファクト:観察事項:観察事項の拡張を実行
    2. 拡張のために送信する観測事象を選択します。
      ケースから作業する場合は、一度に複数の観測事象を選択できます。サポートされているタイプの観測事象のみが送信されます。サポートされていないタイプと許可リストに追加された観測事象は自動的に除外されます。
    3. [観測事象の拡張を実行] をクリックします。
    4. 利用可能な統合のリストから [Have I Been Pwned ] を選択します。
    5. [送信] をクリックします。
      拡張が開始されたことを示すアクティビティストリームエントリが作成されます。処理が完了すると、エンリッチメント結果テーブルに結果レコードが作成されます。

    タスクの結果

    エンリッチメント結果を表示するには:

    1. 任意の観測事象レコードに移動します。
    2. [エンリッチメント結果] タブに移動します。
    3. [ 観測事象のエンリッチメント結果 ] を選択し、結果レコードを開きます。

      [観測事象のエンリッチメント結果] セクション

    次のタスク

    エンリッチメント結果の表示
    拡張では、対応する結果が次のセクションに表示されます。
    • 詳細:選択した観測事象の観測事象拡張統合のサマリーを提供します。このセクションには、特定された違反の総数と、最新の違反の簡潔なサマリーが含まれます。また、統合によって返された生の応答も参照用に提供します。
      表 : 1. 観測事象のエンリッチメント結果の詳細を表示
      フィールド 説明
      番号 Have I Been Pwned 拡張レコードの一意のシステム生成識別子。
      観測可能項目 侵害識別のために送信されたメールアドレスやドメインなどの観測事象レコード。
      作成日時 観測事象の拡張が実行され、観測事象のエンリッチメント結果レコードが作成された日時。
      結果 観測事象の結果を表示します。観測事象が違反に関連付けられている場合、結果には [違反が見つかりました] と表示されます。

      違反が特定されない場合、結果は「 違反は見つかりませんでした」と示されます。
      サマリー 以下を含む観測事象のエンリッチメント結果の概要を示します。
      • 特定された違反の合計数。
      • 最新の違反。
      • 違反タイトル、ドメイン、違反日などの主な詳細 (観測事象のドメインタイプの場合)。

      違反結果をすばやく確認するためのサマリーセクションを表示します。
      生の結果 Have I Been Pwned API によって返された応答を JSON 形式で表示します。このフィールドは、検証とトラブルシューティングを目的としています。

      TISC HIBP 観測事象のエンリッチメント結果:詳細ビュー

    • 違反:HIBP 統合から取得された、観測事象ドメインまたはメールに関連付けられた違反レコードを表示します。各レコードには、侵害タイトル、ドメイン、侵害日、影響を受けるアカウントの数、公開されたデータクラス、侵害が HIBP に追加された日付が含まれます。
      表 : 2. 「Have I Been Pwned」違反を表示
      フィールド 説明
      「Have I Been Pwned」エントリ 拡張レコードの一意のエントリ。
      タイトル すべての違反を通じて一意の違反のタイトル。
      ドメイン 侵害が発生したプライマリ Web サイトのドメイン。
      HIBP に追加済み 違反の日付と時刻 (分単位の精度) が ISO 8601 形式でシステムに追加されました。
      侵害が発生しました 侵害が最初に発生した日付 (時刻なし) の ISO 8601 形式 (常に正確であるとは限りません)。
      変更日 違反の日付と時刻 (分単位の精度) が ISO 8601 形式で変更されました。これは、ここで表されている他の属性が変更された場合、または違反自体のデータが変更された場合にのみ、AddedDate 属性と異なります。
      影響を受けるアカウント システムにロードされたアカウントの合計数。
      外部リンク 「Have I Been Pwned」のそれぞれの違反レコードへのリンク。
      データクラス 侵害で侵害されたデータの性質について説明します。
      説明 違反の概要が含まれています。
      ロゴパス 違反サービスのロゴが見つかる場所を指定する URL。
      帰属 HIBP にデータを提供する当事者によって要求される場合があります。
      開示 URL 侵害について報告されたニュースなどの公開フォーラム情報を含むハイパーリンク。

      TISC HIBP 観測事象エンリッチメント結果違反。

    HTML 応答を表示:選択した観測事象に対して Have I Been Pwned 統合によって返された完全な HTML 応答を表示するには、このボタンを選択します。このビューには、未処理のソースデータが受信したとおりに表示されます。検証、トラブルシューティング、または応答ペイロードを確認するための監査の目的で、このオプションを使用します。

    次の表に示すように、未処理のソースデータで識別された属性を示す「Have I Been Pwned」フラグを表示することもできます。

    表 : 3. Have I Been Pwned フラグ
    関連レコード 説明
    検証済み 違反が未検証と見なされることを示します。未検証の侵害は、データのかなりの部分が正当であるという十分な信頼性がある場合でも HIBP にロードされます。
    マルウェア データがオンラインサービスのセキュリティ侵害ではなく、マルウェアキャンペーンから提供されたことを示します。
    機密 違反が機密と見なされることを示します。パブリック API は、機密としてフラグが付けられた侵害のアカウントを返しません。
    製造済み 違反が捏造されたと見なされることを示します。ただし、正当なメールアドレスはまだ含まれています。
    StealerLog 侵害がスティーラーログに由来しているかどうかを示します。
    廃止 このデータが廃止 (完全に削除) され、API によって返されないことを示します。
    スパムリスト データがセキュリティ侵害の結果として取得されたものではない (またはスパムリストである) ことを示します。
    サブスクリプション無料 違反がサブスクリプションフリーかどうかを示します。

    TISC HIBP 観察事項のエンリッチメント結果:HTML 応答を表示

    注:
    HIBP 統合では、違反認識のみが提供されます。侵害は外部サードパーティシステムから発生するため、違反を修復または解決するアクションはサポートされていません。