Applied Threat Intelligence を使用して IOC を表示する

Applied Threat Intelligence が有効になっている場合、[IOC Matches] タブには、追加の列が表示されます。[IOC Matches] タブには、Chronicle データで一致したすべてのセキュリティ侵害インジケーター（IOC）が表示されます。Applied Threat Intelligence によってキュレートされた IOC を表示、フィルタリングできます。

[IOC Matches] ページでは、次の操作を行うことができます。

IOC を表示する

[IOC Matching] ページには、すべての IOC とその詳細（タイプ、優先度、ステータス、カテゴリ、アセット、キャンペーン、ソース、IOC 取り込み時間、初回検知、最終検知など）が表示されます。色分けされたアイコンや記号で、IOC で注意が必要なアラートをすばやく確認できます。

データを表示する

[] をクリックして、カレンダーを表示します。表示されたデータの期間を調整できます。期間を調整するには、左側にある事前設定された期間のいずれか（直近 5 分から先月まで）を選択します。カレンダーの任意の場所で開始日と終了日を選択して、カスタム期間を指定することもできます。

IOC をフィルタする

左側の列で、フィルタの基準となるカテゴリを選択します。次のオプションを使用してフィルタできます。

タイプ
GCTI 優先度
ステータス
カテゴリ
出典
関連付け
キャンペーン

より高度なフィルタを選択するには、アイコンをクリックして、フィルタの対象となる要素を選択します。また、論理演算子も選択する必要があります。

OR。結合条件のいずれかに一致する必要があります
および。結合されたすべての条件に一致する必要があります

さらにフィルタを追加するには、[+ フィルタを追加] をクリックします。

追加したフィルタは、表の上にチップとして表示されます。

同じカテゴリの 2 つのフィルタを使用するには、それらのフィルタが同じチップに表示されます。[アクティブ IR] または [高] のラベル（どちらも [GCTI Priority] ラベルにあります）が付いた IOC を探すには、次の手順を実行します。

論理演算子を選択します。
最初のフィルタを選択します。
2 番目のフィルタを選択します。2 番目のフィルタをクリックすると、[表示の絞り込み] と [フィルタで除外] の 2 つの選択肢が表示されます。[表示の絞り込み] をクリックします。

適用したインテリジェンス IOC を表示する

左側の列で [ソース] をクリックします。
[Mandiant] をクリックしてデータをフィルタし、適用されたインテリジェンス IOC を表示します。

フィルタをクリア

削除するフィルタの横にあるアイコンをクリックします。
ページから既存のフィルタをすべて消去するには、[すべてクリア] をクリックします。

IOC の詳細を表示する

IOC をクリックすると、優先度、タイプ、ソース、IC スコア、カテゴリなどの詳細を表示できます。IOC マッピングは取得されていてもイベントがない場合は、フィールドマッピングに誤りがあるか、ルールがありません。詳細については、Chronicle のサポートにお問い合わせください。

選択した指標について、[IOC の詳細] ページで次の操作が可能です。

ミュートまたはミュート解除の操作

管理者またはテストアクションによって IOC が生成される場合は、インジケーターをミュートして、誤検出を防ぐことができます。

ステータスをミュートするには、[IOC] をクリックし、[ミュート] をクリックします。インジケーターのステータスが [ミュート中] に変わります。
ステータスのミュートを解除するには、IOC をクリックして、[ミュートを解除] をクリックします。インジケーターのステータスが [ミュート解除] に変わります。

イベントビューア

[イベント] タブでは、選択したインジケーターで、イベントの優先順位付け方法とイベントの詳細を確認できます。イベントごとに、優先度と根拠、UDM フィールド、イベントの詳細を確認できます。優先度と根拠には、イベントの優先度の決定方法が表示されます。