レポートテンプレート
ユーザーのグループ内で共有できるレポートテンプレートを再利用して、迅速かつ一貫性のあるレポートを生成する機能を定義します。
この機能を使用して、さまざまなタイプのレポートテンプレートを作成します。これは、組織の脅威に関する進行中の調査のステータスを報告するケースや、同じレポートを生成するうえで役立つケースに適用できます。
このセクションでは、ケースレベルで CTI レポートを実装する方法について説明し、管理者 (テンプレートデザイン) およびアナリスト (ランタイム) エクスペリエンスを提供します。
ドット連結が可能なカスタムケースタスクフォームフィールドや関連リストをレポートテンプレートに追加できます。また、さまざまなレポート要素を使用して、要件に基づくレポートを書式設定および構成できます。
必要なロール:sn_sec_tisc.admin
ベースシステム内でプロビジョニングされるいくつかのレポートテンプレートについては、次のテーブルのとおりです。
| 名前 | 説明 |
|---|---|
| ケースステータスレポート - 攻撃者プロファイル | このレポートでは、脅威アクターに関連する進行中のケース調査に関するステータスがわかるようになっており、組織への脅威のコンテキストや関連性の把握に努めます。たとえば、敵対者の行動や潜在的な目標、IOC 拡張、関連するマルウェアやツール、観測された TTP、既存 TTP との違い (新たな新機能や、軽微な変更など) が挙げられます。 |
| エグゼクティブ サマリー | また、特定のリスクについて上級意思決定者に情報を提供できるようにもなっています。上級管理者に理解してもらうことに重点を置き、戦略的な問題については「何が」「いつ」ではなく「なぜ」「どのように」を明らかにします。長文の物語を書くための技術的な詳細や付録は、このレポートには含まれません。 |
| 事後調査サマリー - 攻撃者プロファイル | このレポートでは、組織への脅威のコンテキストや関連性、敵対者の行動や潜在的な目標、IOC 拡張、関連するマルウェアやツール、観測された TTP、既存 TTP との違い (新たな新機能や、軽微な変更など) がわかるようになっています。 |
注:
デフォルトでは、これらのレポートのステータスは「公開済み」で、読み取り専用モードになります。レポートテンプレートは読み取り専用モードのため、ユーザーはテンプレートを編集できません。また、レポートテンプレートが無効になるため、アナリストはレポートを生成できません。