アラート管理
アラートオブザーバブル
アラートに関連する指標とオブザーバブルを管理する
概要
オブザーバブルタブでは、アラートに関連するさまざまなタイプの指標を追跡および管理できます。これらのオブザーバブルには、IPアドレス、ドメイン、ファイルハッシュ、およびその他の関連する技術的アーティファクトが含まれます。
オブザーバブルタイプ
ネットワーク指標
- IPアドレス
- ドメイン名
- URL
- メールアドレス
- ネットワークサービス
ファイル指標
- ファイルハッシュ(MD5、SHA1、SHA256)
- ファイル名
- ファイルパス
- ファイルタイプ
システム指標
- レジストリキー
- プロセス名
- システムコマンド
- ユーザーアカウント
カスタム指標
- カスタムオブザーバブルタイプ
- 組織固有の指標
- 業界固有のアーティファクト
オブザーバブルの管理
オブザーバブルの追加
- 「オブザーバブルを追加」ボタンをクリック
- オブザーバブルタイプを選択
- オブザーバブル値を入力
- オプションの説明を追加
- 該当する場合はTLP/PAPレベルを設定
一括操作
- 複数のオブザーバブルをインポート
- オブザーバブルリストをエクスポート
- TLP/PAPの一括更新
- オブザーバブルの一括削除
オブザーバブルのプロパティ
- タイプ分類
- 値
- 説明
- TLP(Traffic Light Protocol)レベル
- PAP(Permissible Actions Protocol)レベル
- 初回/最終確認タイムスタンプ
- ソース情報
オブザーバブルのエンリッチメント
自動エンリッチメント
- 評判データ
- 地理位置情報
- WHOISデータ
- 履歴コンテキスト
- 関連指標
手動分析
- 分析ノートの追加
- 外部ソースへのリンク
- 調査結果の文書化
- 関連オブザーバブルのタグ付け
可視化
リストビュー
- ソート可能な列
- クイックフィルター
- タイプインジケーター
- エンリッチメントステータス
関係ビュー
- オブザーバブルの接続
- 関連アラート
- 共通パターン
- タイムライン可視化
ベストプラクティス
-
データ品質
- オブザーバブル形式の検証
- 誤検知の除去
- コンテキストの文書化
- 一貫した形式の維持
-
エンリッチメント
- エンリッチメントデータのレビュー
- 古い情報の更新
- 発見事項の文書化
- 関連データのリンク
-
整理
- 一貫した命名の使用
- 関連オブザーバブルのグループ化
- 効果的なタグ付け
- 関係の文書化