既存または新規に作成されたウォッチリスト内の既存または新規に作成された脅威レポートにクエリを追加して、カスタム セキュリティ侵害インジケータ (IOC) を作成できます。

手順

  1. 左側のナビゲーション バーで、[調査] をクリックします。
  2. 検索テキスト ボックスからクエリを実行し結果を確認します。
  3. このクエリをウォッチリストの IOC に含めるには、検索テキスト ボックスの下にある [脅威レポートに検索を追加] リンクをクリックします。
    [クエリを追加] ウィンドウが表示されます。
  4. 次のいずれかを実行します。
    • 既存のウォッチリストと脅威レポートを選択します。
      1. [ウォッチリストを選択] セクションのドロップダウン メニューからウォッチリストを選択します。
      2. [レポートへのクエリの追加] セクションのドロップダウン メニューから脅威レポートを選択します。
    • 既存のウォッチリストを選択し、新しい脅威レポートを作成します。
      1. [ウォッチリストを選択] セクションのドロップダウン メニューからウォッチリストを選択します。
      2. [レポートにクエリを追加] セクションの [新規追加] をクリックします。
      3. 新しい脅威レポートに分かりやすい名前を入力します。
      4. オプションで、説明、ウォッチリスト ヒットをトリガする重要度のレベル、および新しい脅威レポートの関連タグを含めます。
    • 新しいウォッチリストと脅威レポートを作成します。
      1. [ウォッチリストを選択] セクションで [新規追加] をクリックします。
      2. 新しいウォッチリストに分かりやすい名前を入力します。
      3. オプションで、新しいウォッチリストの残りのフィールドに入力して、ウォッチリストの目的を指定します。

        [ヒット時のアラート]設定は、イベントがクエリと一致した場合に通知する方法(または通知するかどうか)を決定します。

      4. [レポートにクエリを追加] セクションの [新規追加] をクリックします。
      5. 新しい脅威レポートに分かりやすい名前を入力します。
      6. オプションで、ウォッチリスト ヒットをトリガする重要度の説明とレベル、および新しい脅威レポートの関連タグを含めます。
  5. 変更を適用するには、[保存] をクリックします。

結果

画面の上部に「[IOC が正常に作成されました]」という通知が表示されます。

次のタスク

検索クエリを見つけ、それに対してアクションを実行します。
  1. 左側のナビゲーション バーで、[適用] > [ウォッチリスト] ページをクリックし、カスタム ウォッチリストを選択します。
  2. [レポート] タブを選択し、カスタム脅威レポートの名前をクリックします。

    IOC の下にリストされている、新しく追加されたクエリを表示し、そのクエリに対してアクションを実行できます。クエリを編集、無効化、削除、または調査できます。