カスタムインテリジェンス

Trend Micro Vision One では、独自のレポートをインポートしてサードパーティのインテリジェンスソースからデータを取得することで、カスタムインテリジェンスを構築できます。

次の表は、カスタム画面で使用できる処理を示しています。

操作

説明

インテリジェンスレポートのフィルタ

カスタムインテリジェンスレポートをフィルタするには、検索テキストボックスと次のドロップダウンリストを使用します。

  • 最終更新Trend Micro Vision One がレポートを受信した最終日時

  • 表示:特定のレポートのみまたはすべてのレポートを表示するオプション

  • ソース:レポートの発生元

インテリジェンスレポートを追加する

追加をクリックし、CSVファイルとSTIXファイルをインポートするか、サードパーティのインテリジェンスからカスタムインテリジェンスレポートとしてデータを取得します。

CSVおよびSTIXファイルをインポートする場合は、不審オブジェクト情報の抽出、 リスクレベルの選択、接続された製品が検出時に適用する処理の指定、および抽出されたオブジェクトの有効期限オプションの選択を選択できます。

注:

インポートしたCSVファイルはSTIXインテリジェンスレポートに変換されます。Trend Micro Vision One では、次の種類のインジケータをCSVファイルからSTIXパターンに変換できます。

  • ドメイン

  • ファイル(SHA-1、SHA-256、MD5)

  • ファイル名

  • IPアドレス

  • プロセス(コマンドライン)

  • 送信者アドレス(メールアドレス)

  • URL

  • ユーザアカウント

インテリジェンスレポートから不審オブジェクトを抽出する

1 つ以上のインテリジェンスレポートを選択し、不審オブジェクトの抽出をクリックします。 リスクレベル、アクション、および有効期限の設定を完了し、 送信をクリックします。

インテリジェンスレポートを削除する

1つ以上のインテリジェンスレポートを選択し、削除をクリックします。

追加の処理を実行する

行の最後にある[オプション]ボタン()をクリックし、 インテリジェンスレポートで追加の処理を選択します。

  • STIXインテリジェンスレポートのダウンロード:レポートをローカルのSTIXファイルにダウンロードします。

  • スイーピングを開始:クリックすると手動脅威検索タスクが実行され、環境内で脅威の痕跡が検索されます。

  • スイーピングの開始(STIX-Shifter):クリックすると手動掃引タスクが実行され、 Third-Party Integration で設定した他のデータソースでSTIX-Shifterを使用して脅威の痕跡が検索されます。

    STIX-Shifter接続設定の詳細については、「 Third-Party Integration」を参照してください。

  • 不審オブジェクトの抽出:クリックすると、現在の インテリジェンスレポートから不審オブジェクトが抽出されます。 リスクレベル、アクション、および有効期限の設定を完了し、送信をクリックします。

痕跡の数と一致を確認する

スイーピング用の脅威の痕跡で、インテリジェンスレポートからのスイープに使用できる痕跡の数を確認します。

一致したスイープで、 痕跡 と一致するタスクの数と、作成されたスイープタスクの総数を確認します。たとえば、メッセージ 7人中1人 は、1つのスイープタスクに、合計7つのスイープタスクの中で 痕跡 が一致することを意味します。

注:

0/0 というメッセージは、広範なタスクがトリガされていないことを示します。

さらに、 Trend Micro Vision One では、スイーピングタスク履歴に対して180日間のデータ保持期間が定義されています。保存期間が終了すると、一致したスイープのメッセージが0/0にリセットされます。

スイーピングタスクの詳細の表示

行の先頭にある右矢印()をクリックすると、タスクを展開して各タスクの基本情報を確認できます。

痕跡 が一致するタスクをさらに詳しく調べるには、次の手順を実行します。

  • 関連リンクの下のリンクをクリックして、 Workbench アラートを開くか、 結果をダウンロードします。

  • 詳細アイコン()をクリックして、一致するインジケータとタスクの関連エンティティを確認します。
親トピック: Intelligence Reports