カスタムインテリジェンス

Trend Micro Vision One では、独自のレポートをインポートしてサードパーティのインテリジェンスソースからデータを取得することで、カスタムインテリジェンスを構築できます。

次の表は、 カスタム ]画面で使用できる処理を示しています。

操作

説明

インテリジェンスレポートのフィルタ

カスタムインテリジェンスレポートをフィルタするには、検索テキストボックスと次のドロップダウンリストを使用します。

  • 最終更新Trend Micro Vision One がレポートを受信した最終日時

  • 表示:特定のレポートのみまたはすべてのレポートを表示するオプション

  • ソース:レポートの発生元

インテリジェンスレポートを追加する

[ 追加する ]をクリックし、CSVファイルとSTIXファイルをインポートするか、サードパーティのインテリジェンスからカスタムインテリジェンスレポートとしてデータを取得します。

CSVおよびSTIXファイルをインポートする場合は、不審オブジェクト情報の抽出、 リスクレベルの選択、接続された製品が検出時に適用する処理の指定、および抽出されたオブジェクトの有効期限オプションの選択を選択できます。

注:

インポートしたCSVファイルはSTIXインテリジェンスレポートに変換されます。Trend Micro Vision One では、次の種類のインジケータをCSVファイルからSTIXパターンに変換できます。

  • ドメイン

  • ファイル(SHA-1、SHA-256、MD5)

  • ファイル名

  • IPアドレス

  • プロセス(コマンドライン)

  • 送信者アドレス(メールアドレス)

  • URL

  • ユーザアカウント

インテリジェンスレポートから不審オブジェクトを抽出する

1つ以上のインテリジェンスレポートを選択し、[ 不審オブジェクトの抽出をクリックします。 リスクレベル、アクション、および有効期限の設定を完了し、 送信の送信]をクリックします。

インテリジェンスレポートを削除する

1つ以上のインテリジェンスレポートを選択し、[ 削除]をクリックします。

追加の処理を実行する

行の最後にあるオプションボタン()をクリックし、 インテリジェンスレポートで追加のアクションを実行することを選択します。

  • STIXインテリジェンスレポートのダウンロード:レポートをローカルのSTIXファイルにダウンロードします。

  • スイープを開始:クリックすると手動脅威検索タスクが実行され、環境内で脅威の痕跡が検索されます。

  • スイープの開始(STIX-Shifter):クリックすると手動掃引タスクが実行され、 サードパーティとの統合 で設定した他のデータソースでSTIX-Shifterを使用して脅威の痕跡が検索されます。

    STIX-Shifter接続設定の詳細については、「 Third-Party Integration」を参照してください。

  • 不審オブジェクトの抽出:クリックすると、現在の インテリジェンスレポートから不審オブジェクトが抽出されます。 リスクレベル、アクション、および有効期限の設定を完了し、 送信の送信]をクリックします。

インジケータの数と一致を確認する

スイープのインジケータ、からのスイープに使用できるインジケーターの数を確認してくださいインテリジェンスレポート。

[ 一致したスイープ]で、インジケータが一致するタスクの数と作成されたスイーピングタスクの総数を確認します。たとえば、メッセージ 7人中1人 は、1つのスイープタスクが合計7つのスイープタスクの中でインジケーターの一致を持っていることを意味します。

注:

0/0 というメッセージは、広範なタスクがトリガされていないことを示します。

さらに、 Trend Micro Vision One では、スイーピングタスク履歴に対して180日間のデータ保持期間が定義されています。下のメッセージ一致したスイープにリセットされます0/0保存期間が終了すると。

スイーピングタスクの詳細の表示

行の先頭にある右矢印()をクリックすると、タスクを展開して各タスクの基本情報を確認できます。

インジケータが一致するタスクを詳しく調べるには、次の手順を実行します。

  • 関連リンク の下のリンクをクリックして、 Workbench アラートを開くか、抜本的な結果をダウンロードします。

  • [ 詳細 アイコン()をクリックして、一致するインジケータとタスクの関連エンティティを確認します。