ライブラリリストビューから TAXII 収集に追加

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:4分

    • [TAXII 収集に追加] 機能を使用すると、アナリストは、観測事象、インジケーター、オブジェクト (攻撃パターンや攻撃者など) を含む、選択した脅威インテリジェンスを TAXII 収集に直接追加できます。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    このタスクについて

    観測事象に TAXII コレクションを追加する手順を次に示します。

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 脅威インテリジェンスライブラリ > 観察事項 > すべての観察事項.
    2. 観測事象タイプを選択します。
      注:
      [すべての観測事象] を選択した場合、[TAXII 収集に追加] ボタンは使用できません。このボタンを有効にするには、特定の観測事象タイプ ( メールメッセージなど) を選択する必要があります。
    3. [ TAXII 収集に追加] ボタンをクリックします。
    4. TAXII 収集サンプルテンプレートを選択します。

      [送信インテリジェンス共有 (Outbound Intel Sharing)] ページで構成されたすべてのテンプレートがここに表示され、必要なものを選択できます。詳細については、「送信インテリジェンス共有テンプレートの構成」を参照してください。

      利用可能な収集オプションを含むテンプレート選択ドロップダウンが表示されている [TAXII 収集に追加] ダイアログ。

    5. [追加] を選択します。
      テンプレートを選択するように求められます。以前に作成したテンプレートがここに一覧表示され、選択できるようになります。
    6. テンプレートを選択したら、[ 追加] を選択します。
      アクションを追跡するために、TAXII 収集の追加ジョブレコードが作成されます。
    7. 詳細を表示するには、ジョブレコードをクリックします。
      TAXII 収集に正常に追加された特定のレコードが表示されます。

      このプロセスでは、共有されたインテリジェンスアイテムを確認し、アクションの監査可能なレコードを提供します。

      注:
      システムプロパティ sn_sec_tisc add_to_taxii_collection_entity_threshold は、1 回の要求で TAXII 収集に追加できるエンティティ (観測事象レコード) の最大数を定義します。システムでは、10,000 エンティティのハード制限が適用されます。
    8. ジョブレコードの [レコード ] セクションを選択します。
    9. [ TAXII 収集レコード ] セクションにドリルダウンします。
      選択した観測事象が TAXII 収集に追加され、除外ルールも表示されます。

      除外ルールは、TAXII 収集にアイテムを追加するときに含めないレコードまたはデータを定義し、意図したインテリジェンスのみが共有されるようにします。各テンプレートには、共有中に含めるまたは除外する属性と情報を指定する独自の共有テンプレートコントロールが付属しています。

      さらに、除外ルールを使用すると、特定のレコードが TAXII 収集に追加されないようにすることもできます。

      これらのルールで定義された基準に一致するレコードは除外され、共有できません。たとえば、赤やクリアなどの特定のステータスのドメインをブロックするようにグローバル除外ルールが構成されている場合、その条件に一致するレコードはすべて自動的に除外されます。

      このようなレコードを TAXII 収集に追加しようとすると、アプリケーションはそれらが除外されたことを示し (下のスクリーンショットを参照)、意図した許可された情報のみが共有されるようにします。除外ルールの詳細については、「 送信インテリジェンスデータ除外ルールの設定」を参照してください。

      TAXII 収集に追加するときに除外されたレコード通知を表示するダイアログボックス。

    次のタスク

    TAXII 収集にレコードを追加したら、 アドミニストレーション > TAXII 送信サーバー > TAXII コレクション [ TAXII 収集レコード ] セクションで追加されたレコードを表示します。詳細については、「TAXII 送信サーバーの詳細」と「TAXII 収集レコードの表示」を参照してください。

    TAXII 収集に追加されたレコードのマーキング定義

    TAXII 収集にレコードを追加すると、アプリケーションは自動的にマーキング定義を適用して、レコードに関する追加のコンテキストを提供します。

    例:

    レコードに TLP (TLP 白) などの TLP (信号灯プロトコル) 分類がある場合は、その TLP レベルの意味を説明する関連参照レコードが作成されます。

    これにより、共有インテリジェンスにアクセスするユーザーが各レコードの要件を認識できるようになります。レコードがコレクションに追加されると、関連するメタデータまたはコンテキストレコード (TLP マーキングなど) が自動的に作成され、リンクされます。

    注:
    レコードを追加すると、インテリジェンスレコードに関連付けられた TLP (Traffic Light Protocol) 値が TLP 2.0 マーキング定義オブジェクトとして含まれます。詳細については、「マーキング定義を定義する」を参照してください。
    TAXII 収集でのグローバル除外ルールの管理

    [ 管理 ] セクションでは、グローバル除外ルールを含む、構成関連のすべての設定を表示および管理できます。これらのルールは、TAXII 収集に追加から自動的に除外されるレコードを決定します。

    たとえば、除外ルールで TLP Red または TLP Clear でマークされたドメインを除外できます。これらのルールはカスタマイズできます。たとえば、TLP 赤のレコードのみを除外するように変更できます。

    TAXII 収集にレコードを追加しようとすると、次のようになります。
    • 選択したすべてのレコードが除外ルールに一致する場合、アプリケーションはレコードが追加されないようにします。
    • 選択のレコードが有効な場合、それらのレコードは TAXII 収集に追加され、除外されたレコードは自動的に除外されます。
    除外ルールの詳細については、「 送信インテリジェンスデータ除外ルールの設定」を参照してください。