脅威のルックアップ評価計算ツールの管理
脅威のルックアップ検索計算ツールを使用すると、脅威のルックアップベンダーから受信した応答に基づいて観測事象の検出結果を計算できます。
統合用に脅威のルックアップ検索計算ツールを作成し、スクリプトを使用してさまざまな観測事象の検出結果をどのよう識別するかを決定できます。脅威のルックアップ検索計算ツールには、ベースシステムに付属するサンプルスクリプトが含まれています。これを使用して観測事象の結果を特定したり、要件に従ってこのスクリプトを変更したりできます。
脅威のルックアップ検索計算ツールでは、計算された結果を提供するサードパーティ統合の場合、ベースシステム内のサポートされている検出結果に結果をマッピングします。
脅威のルックアップ結果のロールアップ
さまざまな統合ベンダーから観測事象に対して複数の脅威のルックアップ結果がある場合は、すべてのベンダーからの最新の脅威のルックアップ結果が考慮され、全体的な観測事象結果が次のようにマークされます。
| 最新の観測事象結果 | 全体的な観測事象結果 |
|---|---|
| 悪意がある | 統合ベンダーの 1 つが観測事象を「悪意がある」と報告した場合、全体的な観測事象結果は [悪意がある] とマークされます。 |
| 不審 | 観測事象を「悪意がある」と報告した統合ベンダーはいないが、統合ベンダーの 1 つが「不審」と報告した場合、全体的な観測事象結果は [不審] とマークされます。 |
| クリーン | すべての統合ベンダーが観測事象を「クリーン」と報告した場合、全体的な観測事象結果は [クリーン] とマークされます。 |
| 不明 | 観測事象を「悪意がある」と報告した統合ベンダーはいないが、統合ベンダーの 1 つが「不明」と報告した場合、全体的な観測事象結果は [不明] とマークされます。 |
脅威のルックアップ評価計算ツールの表示
脅威のルックアップ検索計算ツールを表示して、特定の脅威のルックアップベンダーからの応答に基づいて観測事象の評判を計算する方法を決定できます。
必要なロール:sn_sec_tisc.admin
脅威のルックアップ評価計算ツールを表示するには、次の手順を実行します。
- 次のように移動する。 .
- [脅威のルックアップ評価計算ツール] セクションを選択します。
脅威のルックアップ評価計算ツールのリストを表示することができます。
- 必要な脅威のルックアップ評価計算ツールをクリックして、計算ツールの詳細を表示します。
脅威のルックアップ評価計算ツールの作成
必要なロール:sn_sec_tisc.admin
注:
脅威のルックアップベンダーごとに、一度にアクティブにできる脅威のルックアップ計算ツールは 1 つのみです。
脅威のルックアップ評価計算ツールを作成するには、次の手順を実行します。
- 次のように移動する。 .
- [脅威のルックアップ評価計算ツール] セクションを選択します。
脅威のルックアップ評価計算ツールのリストを表示することができます。
- 脅威のルックアップ評価計算ツールを作成するには、[新規] をクリックします。
- フォームの各フィールドに入力します。
表 : 2. 脅威のルックアップ評価計算ツールの作成 フィールド 説明 名前 脅威のルックアップ評価計算ツールの名前。 アクティブ 脅威のルックアップの計算は、[アクティブ] オプションが選択されている場合にのみ実行されます。 脅威のルックアップベンダー 脅威のルックアップのベンダー名。例:CrowdStrike Falcon Intelligence 評価スクリプト さまざまな観測事象結果を識別する方法を決めるためのスクリプトエディター。すべての脅威のルックアップの統合には、脅威のルックアップの評価を計算するための基本スクリプトが付属しています。 - [保存] をクリックします。