エンティティの選択
Chronicle はさまざまなソースからアラートを取り込みます。各アラートは、基盤となる基本セキュリティ イベントとともに取り込まれます。これらのセキュリティ イベントが分析され、インジケーター(IP アドレス、ユーザー名、ドメインなど)がオブジェクトに抽出されます。これらのオブジェクトをエンティティと呼びます。各エンティティには独自のプロパティが含まれます。
エンティティのプロパティを表示する
- [ケース] ページでケースを選択します。デフォルトのケースビューでは、エンティティは、[ケースの概要] タブと [アラート] タブの両方で、[エンティティ ハイライト] に表示されます。
- [詳細を表示] をクリックして、エンティティのプロパティを表示します。サイドドロワーが開き、そのアラートのエンティティのすべてのプロパティが表示されます。
- エンティティ名をクリックして、新しいタブで [エンティティ エクスプローラー] を開きます。[エンティティ エクスプローラ] には、エンティティが関与しているすべてのケースが表示されます。
エンティティの選択アクション
アラートが取り込まれると、ハンドブックが開始され、アラートの処理方法に関して適切な決定が行われます。Chronicle は、アラートが取り込まれると、ハンドブックのトリガーに基づいて、これらのアクションを自動または半自動的に実行します。
ハンドブックの各アクションには、それが実行されるエンティティのグループがあります。[エンティティの選択] アクションによって、追加のグループを作成します。アクションをクリックすると、そのアクションが認識し、操作するエンティティのグループを選択できます。たとえば、内部エンティティのみを認識し、操作するエンティティのグループを選択できます。
ただし、異なるエンティティ セットを認識して処理する別のグループを作成する場合があります。[エンティティの選択] アクションを使用すると、エンティティのプロパティに基づいてアクションを実行する新しいエンティティ グループを作成できます。
新しいグループを作成するには:
- [ハンドブック] ページで、[ステップの選択を開く] をクリックします。
- [ステップの選択] タブで [アクション] を選択してから、[フロー] を選択します。
- [エンティティの選択] を、[ステップをここにドラッグ] というラベルが付いた 2 番目のボックスにドラッグします。
- [エンティティの選択] というラベルの付いた中央のボックスをダブルクリックして、その他のアクションで使用できるエンティティの新しいグループを作成します。
- エンティティの新しいグループを選択するために必要な条件を追加します。たとえば、VirusTotal v3 によって拡充され、10 以上のエンジンによって悪意のあるものと検出された IP アドレス エンティティをすべて選択する場合です。
- これで、[エンティティの選択] アクションに続くすべての操作で新しいグループを選択できるようになりました。