カスタムインテリジェンス · Customer Self-Service

ビュー:

Trend Vision One を使用すると、独自のレポートをインポートし、サードパーティのインテリジェンスソースからデータを取得して、カスタムインテリジェンスを構築できます。

次の表は、 [カスタム] 画面で使用できる処理の概要を示しています。

処理

説明

インテリジェンスレポートのフィルタ

カスタムインテリジェンスレポートをフィルタするには、検索テキストボックスと次のドロップダウンリストを使用します。

インテリジェンスレポートの追加

[追加] をクリックして、CSVファイルとSTIXファイルをインポートするか、サードパーティインテリジェンスからカスタムインテリジェンスレポートとしてデータを取得するかを選択します。

CSVファイルおよびSTIXファイルをインポートする場合は、不審オブジェクト情報の抽出、リスクレベルの選択、接続製品が検出時に適用する処理の指定、および抽出されたオブジェクトの有効期限オプションの選択を行うことができます。

インポートされたCSVファイルは、STIXインテリジェンスレポートに変換されます。 Trend Vision One では、次の種類のインジケータをCSVファイルからSTIXパターンに変換できます。

STIXファイルを正常にインポートするには、「痕跡」タイプのSTIXオブジェクトが1つ以上含まれている必要があります。

インテリジェンスレポートからの不審オブジェクトの抽出

1つ以上のインテリジェンスレポートを選択し、 [不審オブジェクトの抽出]をクリックします。リスクレベル、処理、および有効期限の設定を完了し、 [送信]をクリックします。

インテリジェンスレポートの削除

1つ以上のインテリジェンスレポートを選択し、 [削除]をクリックします。

追加の処理を実行する

オプションボタン (

) をクリックし、インテリジェンスレポートに対して追加の処理を実行するよう選択します。

[STIXインテリジェンスレポートをダウンロード]: クリックすると、レポートがSTIXファイルにローカルにダウンロードされます。
[スイーピングを開始]: クリックすると、手動スイープタスクが開始され、環境内の脅威インジケータが検索されます。
[自動スイーピングを設定]: クリックしてオンにし、現在のレポートに対して自動スイープを実行する期間を指定し、 [送信]をクリックします。
[不審オブジェクトの抽出]: クリックすると、現在のレポートから不審オブジェクトが抽出されます。リスクレベル、処理、および有効期限の設定を完了し、 [送信]をクリックします。
[スイーピングの開始 (STIX-Shifter) ]: クリックすると、手動スイープタスクが開始され、STIX-Shifterを使用して、 Third-Party Integration で設定した他のデータソースで脅威インジケータが検索されます。

STIX-Shifterの接続設定の詳細については、Third-Party Integrationを参照してください。

痕跡の数と一致を確認する

[スイーピング用の脅威の痕跡]で、インテリジェンスレポートからのスイープに使用できるインジケータの数を確認します。

[一致したスイープ]で、インジケータが一致するタスクの数と、作成されたスイープタスクの総数を確認します。たとえば、メッセージ [7人中1人] は、1つのスイープタスクに合計7つのスイープタスクの中で一致するインジケータがあることを意味します。

メッセージ [0/0] は、スイープタスクがトリガされていないことを示します。

さらに、 Trend Vision One は、スイープタスク履歴の180日間のデータ保持期間を定義します。保持期間が終了すると、[一致したスイープ] の下のメッセージは [0/0] にリセットされます。

スイープタスクの詳細の表示

右矢印 (

) をクリックして検索タスクを展開し、各タスクの基本情報を確認します。

痕跡が一致するタスクをさらに調べるには、次の手順を実行します。