概要

オブザーバブルタブでは、アラートに関連するさまざまなタイプの指標を追跡および管理できます。これらのオブザーバブルには、IPアドレス、ドメイン、ファイルハッシュ、およびその他の関連する技術的アーティファクトが含まれます。

オブザーバブルタイプ

ネットワーク指標

  • IPアドレス
  • ドメイン名
  • URL
  • メールアドレス
  • ネットワークサービス

ファイル指標

  • ファイルハッシュ(MD5、SHA1、SHA256)
  • ファイル名
  • ファイルパス
  • ファイルタイプ

システム指標

  • レジストリキー
  • プロセス名
  • システムコマンド
  • ユーザーアカウント

カスタム指標

  • カスタムオブザーバブルタイプ
  • 組織固有の指標
  • 業界固有のアーティファクト

オブザーバブルの管理

オブザーバブルの追加

  1. 「オブザーバブルを追加」ボタンをクリック
  2. オブザーバブルタイプを選択
  3. オブザーバブル値を入力
  4. オプションの説明を追加
  5. 該当する場合はTLP/PAPレベルを設定

一括操作

  • 複数のオブザーバブルをインポート
  • オブザーバブルリストをエクスポート
  • TLP/PAPの一括更新
  • オブザーバブルの一括削除

オブザーバブルのプロパティ

  • タイプ分類
  • 説明
  • TLP(Traffic Light Protocol)レベル
  • PAP(Permissible Actions Protocol)レベル
  • 初回/最終確認タイムスタンプ
  • ソース情報

オブザーバブルのエンリッチメント

自動エンリッチメント

  • 評判データ
  • 地理位置情報
  • WHOISデータ
  • 履歴コンテキスト
  • 関連指標

手動分析

  • 分析ノートの追加
  • 外部ソースへのリンク
  • 調査結果の文書化
  • 関連オブザーバブルのタグ付け

可視化

リストビュー

  • ソート可能な列
  • クイックフィルター
  • タイプインジケーター
  • エンリッチメントステータス

関係ビュー

  • オブザーバブルの接続
  • 関連アラート
  • 共通パターン
  • タイムライン可視化

ベストプラクティス

  1. データ品質
    • オブザーバブル形式の検証
    • 誤検知の除去
    • コンテキストの文書化
    • 一貫した形式の維持
  2. エンリッチメント
    • エンリッチメントデータのレビュー
    • 古い情報の更新
    • 発見事項の文書化
    • 関連データのリンク
  3. 整理
    • 一貫した命名の使用
    • 関連オブザーバブルのグループ化
    • 効果的なタグ付け
    • 関係の文書化

次のステップ

TTPs

戦術と手順を探る

類似アラート

関連アラートを見つける