Secure Firewall Threat Intelligence Director
Secure Firewall Threat Intelligence Director の概要
- Threat Intelligence Director およびセキュリティインテリジェンス
- Threat Intelligence Director のパフォーマンスへの影響
Threat Intelligence Director の要件と前提条件
Threat Intelligence Director のセットアップ方法
Threat Intelligence Director インシデントおよびオブザベーションデータの分析
Threat Intelligence Director 設定の表示および変更
Threat Intelligence Director のトラブルシューティング
Threat Intelligence Director の履歴

Secure Firewall Threat Intelligence Director

この章のトピックでは、Threat Intelligence Director を設定および使用する方法について説明します。

Secure Firewall Threat Intelligence Director の概要

Secure Firewall Threat Intelligence Director は脅威インテリジェンスデータを操作可能にし、インテリジェンスデータの集約、防衛アクションの設定、環境内の脅威の分析を支援します。この機能は、Firepower の他の機能を補完するもので、脅威に対する追加の防衛線を提供します。

Threat Intelligence Director をホスティングプラットフォームに設定すると、脅威インテリジェンス ソースからデータが取り込まれ、設定されたすべての管理対象デバイス（要素）にそのデータが公開されます。このリリースでサポートされているホスティングプラットフォームと要素の詳細については、プラットフォーム、要素、およびライセンスに関する要件を参照してください。

ソースには、オブザーバブルを含むインジケータが含まれています。インジケータは、脅威に関連するすべての特性を伝達し、個々のオブザーバブルは、その脅威に関連付けられた個々の特性（例えば、SHA-256 値）を表します。単純なインジケータには単一のオブザーバブルが含まれ、複合インジケータには 2 つ以上のオブザーバブルが含まれます。

オブザーバブルとそれらの間の AND/OR 演算子は、次の例に示すように、インジケータのパターンを形成します。

オブザーバブルが要素に公開された後、要素はトラフィックをモニタし、システムがトラフィック内のオブザーバブルを識別すると、Management Center にオブザベーションを報告します。

Management Center は、すべての要素からのオブザベーションを収集し、Threat Intelligence Director インジケータに対してオブザベーションを評価して、オブザーバブルの親インジケータに関連付けられたインシデントを生成または更新します。

インシデントは、インジケータのパターンが満たされたときに完全に実現されます。トラフィックがインジケータ内の 1 つまたは複数のオブザーバブルに一致するが、パターン全体では一致しない場合、インシデントは部分的に実現されます。詳細については、監視とインシデント生成を参照してください。

次の図に、サンプルのシステム構成におけるデータフローを示します。

Threat Intelligence Director インシデントが完全または部分的に実現されると、システムは設定されたアクション（モニタ、ブロック、部分的なブロック、またはアクションなし）を実行します。詳細については、アクションに影響を与える要因を参照してください。

Threat Intelligence Director およびセキュリティインテリジェンス

アクセスコントロールポリシーの一部として、セキュリティインテリジェンスではレピュテーションインテリジェンスを使用して、IP アドレス、URL、およびドメインとの間の接続をすばやくブロックします。セキュリティインテリジェンスは、Talos インテリジェンスグループからの業界をリードする脅威インテリジェンスへのアクセスを一意に提供します。セキュリティインテリジェンスの詳細については、セキュリティインテリジェンスについてを参照してください。

Threat Intelligence Director は、サードパーティのソースからのセキュリティインテリジェンスに基づいて接続をブロックするシステムの機能を次のように拡張します。

Threat Intelligence Director は、追加のトラフィックフィルタリング基準をサポート：セキュリティインテリジェンスは、IP アドレス、URL、および（DNS ポリシーが有効な場合は）ドメイン名に基づいてトラフィックをフィルタリングできるようにします。Threat Intelligence Director でも、これらの基準によるフィルタリングをサポートし、SHA-256 ハッシュ値に基づくフィルタリングのサポートを追加します。
Threat Intelligence Director は、追加のインテリジェンス取り込み方法をサポート：セキュリティインテリジェンスおよび Threat Intelligence Director の両方を使用して、フラットファイルを手動でアップロードするか、サードパーティホストからフラットファイルを取得するようにシステムを構成することで、システムに脅威インテリジェンスをインポートできます。Threat Intelligence Director は、これらのフラットファイルの管理における柔軟性を向上させます。また、Threat Intelligence Director は Structured Threat Information eXpression（STIX™）形式で提供されるインテリジェンスを取得して取り込むことができます。
Threat Intelligence Director は、フィルタリング処理のきめ細かい制御を提供：セキュリティインテリジェンスにより、ネットワーク、URL、または DNS オブジェクトによるフィルタリング基準を指定できます。セキュリティインテリジェンスオブジェクト（特にリストおよびフィード）には、複数の IP アドレス、URL、DNS ドメイン名を含めることができますが、オブジェクトの個別のコンポーネントではなく、オブジェクト全体に基づいてのみ、ブロックまたはブロックしないことができます。Threat Intelligence Director を使用すると、個別の基準（つまり簡易インジケータまたは個別のオブザーバブル）に対するフィルタリング処理を構成できます。
Threat Intelligence Director 構成の変更には再展開は不要：アクセスコントロールポリシーでセキュリティインテリジェンス設定を変更したら、管理対象デバイスに変更された構成を再展開する必要があります。Threat Intelligence Director では、管理対象デバイスへのアクセスコントロールポリシーの初期展開後に、ソース、インジケータ、およびオブザーバブルを再展開せずに構成でき、システムによって新しい Threat Intelligence Director データが要素に自動的に公開されます。

セキュリティインテリジェンスまたは Threat Intelligence Director が特定のインシデントに対処できるときに、システムがどのように機能するかについては、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

Threat Intelligence Director のパフォーマンスへの影響

Secure Firewall Management Center

いくつかのケースで、次のような場合があります。

特に大きな STIX ソースを取り込んている間にシステムのパフォーマンスがわずかに低下することがあり、取り込みが完了するまでに時間がかかることがあります。
新しいまたは変更された Threat Intelligence Director データを要素に公開するまでに、最大 15 分かかることがあります。

管理対象デバイス（Managed Device）

例外的なパフォーマンスの影響はありません。Threat Intelligence Director は、Secure Firewall Management Center セキュリティインテリジェンスの機能と同じようにパフォーマンスに影響します。

Threat Intelligence Director の要件と前提条件

モデルのサポート

任意

サポートされるドメイン

任意

ユーザの役割

管理者

脅威インテリジェンスディレクタユーザー

追加の要件

次のトピックでは、Threat Intelligence Director を使用するための追加の要件について説明します。

プラットフォーム、要素、およびライセンスに関する要件

ホスティングプラットフォーム

次の物理および仮想 Secure Firewall Management Center で Threat Intelligence Director をホスティングできます。

バージョン 6.2.2 以降を実行している。
最小 15 GB のメモリで構成されている。
REST API アクセスが有効な状態で構成されている。Cisco Secure Firewall Management Center アドミニストレーションガイドの「Enabling REST API Access」を参照してください。

要素

デバイスがバージョン 6.2.2 以降を実行している場合は、任意の Secure Firewall Management Center 管理対象デバイスを Threat Intelligence Director 要素として使用できます。

ライセンシング

SHA-256 の監視可能な公開のファイルポリシーを構成するには、次のライセンスを取得したデバイスが必要です。

スマートライセンスデバイスの場合：
- IPS ライセンス：IPv4、IPv6、URL、および DNS の検出と監視可能
- マルウェア防御ライセンス：SHA-256 の検出と監視可能
クラシックライセンスデバイスの場合：
- 保護ライセンス：IPv4、IPv6、URL、および DNS の検出と監視可能
- マルウェアライセンス：SHA-256 の検出と監視可能

詳細については、Threat Intelligence Director をサポートするためのポリシーの設定およびCisco Secure Firewall Management Center アドミニストレーションガイドの「Licenses」の章を参照してください。

ソース要件

ソースタイプの要件：

STIX

ファイルは、STIX バージョン 1.0、1.1、1.1.1、または 1.2 であり、STIX ドキュメントのガイドライン（http://stixproject.github.io/documentation/suggested-practices/）に準拠していなければなりません。

STIX ファイルには複雑なインジケータを含めることができます。

URL ダウンロードまたはファイルアップロードで設定される場合、STIX ファイルの最大サイズは 40MB です。これより大きい STIX ファイルがある場合は、TAXII サーバーを使用することを推奨します。

フラットファイル（Flat File）

ファイルは、1 行に 1 つのオブザーバブル値を持つ ASCII テキストファイルでなければなりません。

フラットファイルには、簡易インジケータ（インジケータごとに 1 つのオブザーバブル）しか含まれていません。

フラットファイルは 500 MB 以下にする必要があります。

Threat Intelligence Director では、以下はサポートされません。

オブザーバブル値を区切る区切り文字（たとえば、observable, は無効です）。
オブザーバブル値を囲む囲み文字（たとえば、"observable" は無効です）。

各ファイルには、コンテンツタイプを 1 つしか含めることができません。

SHA-256：SHA-256 ハッシュ値。
Domain：RFC 1035 で規定されているドメイン名。

URL：RFC 1738 で規定されている URL。

（注）

Threat Intelligence Director は、ポート、プロトコル、または認証情報を含む URL を正規化し、インジケータを検出するときに正規化されたバージョンを使用します。たとえば、Threat Intelligence Director は次の URL を正規化します。

http://example.com/index.htm
http://example.com:8080/index.htm
example.com:8080/index.htm
example.com/index.htm

as:

example.com/index.htm

または、Threat Intelligence Director はたとえば次の URL を正規化します。


http://abc@example.com:8080/index.htm

これを次のように更新します。

abc@example.com/index.htm/

IPv4：RFC 791 で規定されている IPv4 アドレス。

Threat Intelligence Director は CIDR ブロックを受け入れません。
IPv6：RFC 4291 で規定されている IPv6 アドレス。

Threat Intelligence Director はプレフィックス長を受け入れません。

ソースコンテンツの制限事項

システムにより、URL オブザーバブルの最初の 1000 文字のみが取り込まれ、照合されます。

Threat Intelligence Director のセットアップ方法

（注）

Threat Intelligence Director の設定や操作中に問題が発生した場合は、Threat Intelligence Director のトラブルシューティングを参照してください。

手順

ステップ 1	インストールしたものが Threat Intelligence Director を実行するための要件を満たしていることを確認します。プラットフォーム、要素、およびライセンスに関する要件を参照してください
ステップ 2	管理対象デバイスごとに、Threat Intelligence Director をサポートするために必要なポリシーを設定し、それらのポリシーをデバイスに展開します。 Threat Intelligence Director をサポートするためのポリシーの設定を参照してください。インテリジェンスデータソースを取り込む前または後で要素を設定できます。
ステップ 3	Threat Intelligence Director で取り込むインテリジェンスソースを設定します。ソース要件とデータソースを取り込むためのオプションの下のトピックを参照してください。
ステップ 4	要素にデータをまだ公開していない場合は、公開します。ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

次のタスク

定期的にスケジュールされたバックアップに Threat Intelligence Director を含めます。Threat Intelligence Director データのバックアップおよび復元についてを参照してください。

Secure Firewall Management Center の展開が高可用性構成の場合は、Cisco Secure Firewall Management Center アドミニストレーションガイドの「Management Center High Availability Disaster Recovery」も参照してください。
（オプション）必要に応じて、Threat Intelligence Director 機能に管理アクセスを付与します。Cisco Secure Firewall Management Center アドミニストレーションガイドの「Management Center」を参照してくだい。
操作中に必要に応じて、設定を微調整します。たとえば、誤検出インシデントを生成するオブザーバブルを [ブロックしない（Do Not Block）] リストに追加します。Threat Intelligence Director 設定の表示および変更を参照してください。

Threat Intelligence Director をサポートするためのポリシーの設定

Management Center から管理対象デバイス（要素）に Threat Intelligence Director データを公開するには、アクセスコントロールポリシーを設定する必要があります。さらに、最大限のオブザベーションおよび Management Center イベント生成を行うためにアクセスコントロールポリシーを設定することを推奨します。

Threat Intelligence Director をサポートする各管理対象デバイスに対し、次の手順を実行して関連付けられたアクセスコントロールポリシーを設定します。

データが公開された後に Threat Intelligence Director を使用するように設定されている要素は、現在公開されているすべてのオブザーバブルを自動的に受信します。

手順

ステップ 1	アクセスコントロールポリシーの [一般設定（General Settings）] で、[Threat Intelligence Directorを有効にする（Enable Threat Intelligence Director）] チェックボックスがオンになっていることを確認します。[一般設定（General Settings）] に移動するには、[ポリシー（Policies）] > [アクセス制御（Access Control）] > [編集（Edit）] > [詳細（More）] > [詳細設定（Advanced Settings）] を選択します。このオプションは、デフォルトで有効です。詳細については、アクセスコントロールポリシーの詳細設定を参照してください。
ステップ 2	まだ設定されていない場合は、アクセスコントロールポリシーに接続を（信頼ではなく）許可するルールを追加します。Threat Intelligence Director では、アクセスコントロールポリシーで 1 つ以上のルールを指定する必要があります。 Threat Intelligence Director はインスペクションに依存しているため、トラフィックを信頼するのではなく、許可するようにしてください。トラフィックを信頼する目的はインスペクションをバイパスすることであるためです。詳細については、基本的なアクセスコントロールポリシーの作成を参照してください。
ステップ 3	アクセスコントロールポリシーのデフォルトアクションとして [侵入防御（Intrusion Prevention）] を選択し、TID 検出のためにトラフィックを復号する場合は、SSL ポリシーをアクセスコントロールポリシーに関連付けます。アクセス制御への他のポリシーの関連付けを参照してください。
ステップ 4	`SHA-256` オブザーバブルにオブザベーションおよび Secure Firewall Management Center イベントを生成させる場合： 1 つ以上の [マルウェアクラウドルックアップ（Malware Cloud Lookup）] または [マルウェアブロック（Block Malware）] ファイルルールを含むファイルポリシーを作成します。詳細については、ファイルポリシーの設定を参照してください。このファイルポリシーを、アクセスコントロールポリシーの 1 つ以上のルールと関連付けます。
ステップ 5	[IPv4]、[IPv6]、[URL]、または [ドメイン名（Domain Name）] のオブザベーションで接続およびセキュリティインテリジェンスイベントを生成する場合は、アクセスコントロールポリシーで接続およびセキュリティインテリジェンスのロギングを有効にします。ファイルポリシーを呼び出したアクセスコントロールルールで、[接続の終了時にロギング（Log at End of Connection）] および [ファイルイベント：ログファイル（File Events: Log Files）] を有効にします（まだ有効になっていない場合）。詳細については、Cisco Secure Firewall Management Center アドミニストレーションガイドの「Logging Connections with Access Control Rules」を参照してください。セキュリティインテリジェンス設定でデフォルトのロギング（[DNS ポリシー（DNS Policy）]、[ネットワーク（Networks）]、および [URL（URLs）]）が有効になっていることを確認します。詳細については、Cisco Secure Firewall Management Center アドミニストレーションガイドの「Logging Connections with Security Intelligence」を参照してください。
ステップ 6	設定変更を展開します設定変更の展開を参照してください。

次のタスク

残りの項目を入力します。 Threat Intelligence Director のセットアップ方法

データソースを取り込むためのオプション

使用するデータタイプと配信メカニズムに基づいて構成オプションを選択します。

これらのデータタイプの詳細については、ソース要件を参照してください。

表 1. データソースを取り込むためのオプション
データタイプ	取り込みオプション
STIX	TAXII サーバーからの STIX フィードの取り込み：ソースとして使用する TAXII フィードの取得を参照してください URL からの STIX データのダウンロード： URL からのソースの取得を参照してください STIX ファイルのアップロード：ソースとして使用するローカルファイルのアップロードを参照してください
フラットファイル	URL からのデータのダウンロード： URL からのソースの取得を参照してくださいフラットファイルのアップロード：ソースとして使用するローカルファイルのアップロードを参照してください

ソースとして使用する TAXII フィードの取得

TID の設定や操作中に問題が発生した場合は、を参照してください。 Threat Intelligence Director のトラブルシューティング

手順

ステップ 1	次の要件をソースが満たしていることを確認します。ソース要件
ステップ 2	[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] を選択します。
ステップ 3	Add ( ) をクリックします。
ステップ 4	ソースの [配信（Delivery）] 方法として [TAXII] を選択します。
ステップ 5	情報を入力します。ホストサーバーで暗号化された接続が必要な場合は、Threat Intelligence Director ソースの TLS/SSL 設定の構成の説明に従って [SSL 設定（SSL Settings）] を構成します。 TAXII ソースの [アクション（Action）] 選択を変更することはできません。 STIX データに（システムがブロックできない）複雑なインジケータが含まれている可能性があるため、TAXII ソースの `Block` が [アクション（Action）] オプションになりません。デバイス（要素）は、単一のオブザーバブルに基づいて保存してアクションを実行します。複数のオブザーバブルに基づいてアクションを実行することはありません。ただし、取り込み後は、個々のオブザーバブルと、そのソースから取得した簡易インジケータをブロックすることができます。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。フィードのリストが読み込まれるまでには時間がかかることがあります。 [更新頻度（Update Every）] 間隔は、Threat Intelligence Director が TAXII ソースから更新を取得する頻度を指定します。データソースを更新する有効な更新頻度を設定します。たとえば、ソースを 1 日に 3 回更新する場合、更新間隔を 1440/3 または 480 分に設定して、定期的に最新データをキャプチャします。 [TTL] に指定された日数の経過後に、Threat Intelligence Director が以下のものを削除します。以降のソース更新に含まれないソースのインジケータのすべて。残ったインジケータによって参照されないすべてのオブザーバブル。
ステップ 6	要素への公開をすぐに開始する場合は、[公開（PUBLISH）] [スライダ（Slider）]（）が有効になっていることを確認します。このオプションを有効にすると、システムは自動的に初期ソースデータとそれに続く変更を公開します。詳細は、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。
ステップ 7	[保存（Save）] をクリックします。

次のタスク

TAXII フィードには大量のデータが含まれている可能性があるため、システムがすべてのデータを取り込むまでに時間がかかることがあります。取り込みステータスを表示するには、[ソース（Sources）] ページを更新します。
このソースのエラーが表示される場合は、ステータスにマウスオーバーすると詳細を確認できます。
初期の Threat Intelligence Director 設定を行っている場合は、Threat Intelligence Director のセットアップ方法に戻ります。

URL からのソースの取得

Threat Intelligence Director でホストからファイルを取得する場合は、URL ソースを設定します。

TID の設定や操作中に問題が発生した場合は、を参照してください。 Threat Intelligence Director のトラブルシューティング

手順

ステップ 1	次の要件をソースが満たしていることを確認します。ソース要件
ステップ 2	[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] を選択します。
ステップ 3	Add ( ) をクリックします。
ステップ 4	ソースの [配信（Delivery）] 方法として [URL] を選択します。
ステップ 5	フォームに入力します。フラットファイルを取り込む場合は、ソース内に含まれるデータを記述する [タイプ（Type）] を選択します。ホストサーバーで暗号化された接続が必要な場合は、Threat Intelligence Director ソースの TLS/SSL 設定の構成の説明に従って SSL 設定を構成します。名前の場合：Threat Intelligence Director インジケータに基づいてインシデントの並び替えと処理を簡単にするには、送信元全体に一貫した命名スキームを使用します。例：<source>-<type>。ソース名も追加すると、追加の情報やフィードバックのためにソースに返信することが簡単になります。一貫性のある名前を入力してください。たとえば、IPv4 アドレスを含むソースの場合、常に IPV4 を使用します（IPv4、ipv4、IP_v4、IP_V4、ip-v4、IP-v4、IP-V4 などは使用しません）。 STIX ファイルを取り込む場合は、STIX データに（システムがブロックできない）複雑なインジケータが含まれている可能性があるため、`Block` が [アクション（Action）] オプションになりません。デバイス（要素）は、単一のオブザーバブルに基づいて保存してアクションを実行します。複数のオブザーバブルに基づいてアクションを実行することはありません。ただし、取り込み後は、個々のオブザーバブルと、そのソースから取得した簡易インジケータをブロックすることができます。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。データソースを更新する有効な更新頻度を設定します。たとえば、ソースを 1 日に 3 回更新する場合、更新間隔を 1440/3 または 480 分に設定して、定期的に最新データをキャプチャします。 [TTL] 間隔に指定された日数の経過後に、Threat Intelligence Director が以下のものを削除します。以降のソース更新に含まれないソースのインジケータのすべて。残ったインジケータによって参照されないすべてのオブザーバブル。
ステップ 6	要素への公開をすぐに開始する場合は、[公開（Publish）] [スライダ（Slider）]（）が有効になっていることを確認します。このオプションを有効にすると、システムは自動的に初期ソースデータとそれに続く変更を公開します。詳細は、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。
ステップ 7	[保存（Save）] をクリックします。

次のタスク

取り込みステータスを表示するには、[ソース（Sources）] ページを更新します。エラーが表示される場合は、ステータスにマウスオーバーすると詳細を確認できます。
初期の Threat Intelligence Director 設定を行っている場合は、Threat Intelligence Director のセットアップ方法に戻ります。

ソースとして使用するローカルファイルのアップロード

この手順は、ローカルファイルのワンタイム手動アップロードに使用します。

STIX ファイルを取り込むと、Threat Intelligence Director によって STIX ファイルの内容から単純または複雑なインジケータが作成されます。

フラットファイルを取り込むと、Threat Intelligence Director によってファイル内のオブザーバブル値ごとに簡易インジケータが作成されます。

Threat Intelligence Director の設定や操作中に問題が発生した場合は、Threat Intelligence Director のトラブルシューティングを参照してください。

手順

ステップ 1	ソース要件の要件をファイルが満たしていることを確認します。
ステップ 2	[インテリジェンス（Intelligence）] > [ソース（Sources）] の順に選択します。
ステップ 3	Add ( ) をクリックします。
ステップ 4	ソースの [配信（Delivery）] 方法として [アップロード（Upload）] を選択します。
ステップ 5	フォームに入力します。フラットファイルをアップロードする場合は、ソース内に含まれるデータを記述する [タイプ（Type）] を選択します。名前の場合：Threat Intelligence Director インジケータに基づいてインシデントの並び替えと処理を簡単にするには、送信元全体に一貫した命名スキームを使用します。例：<source>-<type>。ソース名も追加すると、追加の情報やフィードバックのためにソースに返信することが簡単になります。一貫性のある名前を入力してください。たとえば、IPv4 アドレスを含むソースの場合、常に IPV4 を使用します（IPv4、ipv4、IP_v4、IP_V4、ip-v4、IP-v4、IP-V4 などは使用しません）。 STIX ファイルをアップロードする場合は、STIX データに複雑なインジケータが含まれている可能性があるため、`Block` が [アクション（Action）] オプションになりません。デバイス（要素）は、単一のオブザーバブルに基づいて保存してアクションを実行します。複数のオブザーバブルに基づいてアクションを実行することはありません。ただし、インジケータまたはオブザーバブルレベルで簡易インジケータをブロックすることはできます。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。 [TTL] 間隔に指定された日数の経過後に、Threat Intelligence Director が以下のものを削除します。以降のアップロードに含まれないソースのインジケータのすべて。残ったインジケータによって参照されないすべてのオブザーバブル。
ステップ 6	要素への公開をすぐに開始する場合は、[公開（Publish）] [スライダ（Slider）]（）が有効になっていることを確認します。取り込み時にソースを公開しない場合、後ですべてのソースインジケータを一度に公開することはできません。代わりに、各オブザーバブルを個別に公開する必要があります。ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。
ステップ 7	[保存（Save）] をクリックします。

次のタスク

取り込みステータスを表示するには、[ソース（Sources）] ページを更新します。エラーが表示される場合は、ステータスにマウスオーバーすると詳細を確認できます。
初期の Threat Intelligence Director 設定を行っている場合は、Threat Intelligence Director のセットアップ方法に戻ります。

重複インジケータの処理

単一のインジケータが複数のソースに含まれている場合：

インジケータの各インスタンスがインシデントを生成するため、特定の脅威を一度検出すると複数のインシデントを生成する場合があります。

今後の重複インシデントを回避するには、重複インジケータの 1 つを除くすべてのインジケータの公開を一時停止します。ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

Threat Intelligence Director ソースの TLS/SSL 設定の構成

ホストサーバーで暗号化された接続が必要な場合は、SSL 設定を構成します。

始める前に

ソースとして使用する TAXII フィードの取得または URL からのソースの取得の説明に従って、TAXII または URL ソースの設定を開始します。

手順

ステップ 1

[ソースの編集（Edit Source）] ダイアログボックスで、[SSL設定（SSL Settings）] セクションを展開します。

ステップ 2

サーバ証明書が自己署名されている場合：

[自己署名証明書（Self-Signed Certificate）] を有効にします。
[SSL ホスト名検証（SSL Hostname Verification）] 方式を選択します。
- [厳格（Strict）]：Threat Intelligence Director では、ソース URL がサーバー証明書に指定されたホスト名と一致する必要があります。
  
  ホスト名にワイルドカードが含まれる場合、TID は複数のサブドメインと一致することはできません。
- [ブラウザ互換性あり（Browser Compatible）]：Threat Intelligence Director では、ソース URL がサーバ証明書に指定されたホスト名と一致する必要があります。
  
  ホスト名にワイルドカードが含まれる場合、TID はすべてのサブドメインに一致します。
- [すべて許可（Allow All）]：Threat Intelligence Director では、ソース URL がサーバ証明書に指定されたホスト名と一致する必要はありません。
たとえば、subdomain1.subdomain2.cisco.com がソース URL で、*.cisco.com がサーバ証明書で指定されたホスト名である場合は、次のようになります。
- [厳格（Strict）] ホスト名検証は失敗します。
- [ブラウザ互換性あり（Browser Compatible）] ホスト名検証は成功します。
- [すべて許可（Allow All）] ホスト名検証では、ホスト名の値は完全に無視されます。
[サーバ証明書（Server Certificate）] の場合：
- PEM エンコードおよび自己署名されたサーバ証明書にアクセスできる場合は、テキストエディタで証明書を開き、BEGIN CERTIFICATE 行と END CERTIFICATE 行を含むテキストブロック全体をコピーします。この文字列全体をフィールドに入力します。
- 自己署名されたサーバ証明書にアクセスできない場合は、フィールドを空白のままにします。ソースを保存すると、Threat Intelligence Director はサーバーから証明書を取得します。

ステップ 3

サーバにユーザ証明書が必要な場合：

[ユーザ証明書（User Certificate）] を入力します。

テキストエディタで PEM エンコードされた証明書を開いて、BEGIN CERTIFICATE 行と END CERTIFICATE 行を含むテキストのブロック全体をコピーします。この文字列全体をフィールドに入力します。
[ユーザ秘密キー（User Private Key）] を入力します。

テキストエディタで秘密キーファイルを開き、BEGIN RSA PRIVATE KEY および END RSA PRIVATE KEY 行を含むテキストブロック全体をコピーします。この文字列全体をフィールドに入力します。

次のタスク

証明書の有効期限を記録します。現在の証明書の有効期限が切れた後に、新しいサーバ証明書を入力するためのカレンダー通知を設定することもできます。
ソースの設定を続けます。
- ソースとして使用する TAXII フィードの取得
- URL からのソースの取得

Threat Intelligence Director アクセス権を持つユーザーロール

Management Center ユーザーアカウントを使用して、Threat Intelligence Director のメニューやページにアクセスすることができます。

[管理者（Admin）] または [Threat Intelligence Director ユーザ（Threat Intelligence Director User）] のユーザロールを持つアカウント。
[インテリジェンス（Intelligence）] 権限を含むカスタムユーザロールを持つアカウント。

さらに、[管理者（Admin）]、[アクセス管理者（Access Admin）]、または [ネットワーク管理者（Network Admin）] のユーザロールを持つ Management Center ユーザアカウントを使用して、アクセスコントロールポリシーで Threat Intelligence Director を有効または無効にすることができます。

ユーザーアカウントの詳細については、Cisco Secure Firewall Management Center アドミニストレーションガイドの「Management Center」の章を参照してください。

Threat Intelligence Director データのバックアップおよび復元について

Management Center を使用して、Threat Intelligence Director に必要なすべてのデータ（要素データ、セキュリティインテリジェンスイベント、接続イベント、Threat Intelligence Director 構成、および Threat Intelligence Director データ）をバックアップおよび復元できます。詳細については、Cisco Secure Firewall Management Center アドミニストレーションガイドの「the Backup/Restore」の章を参照してください。

（注）

ハイアベイラビリティ構成のアクティブな Management Center で Threat Intelligence Director をホスティングする場合、システムは Threat Intelligence Director 構成と Threat Intelligence Director データをスタンバイ Management Center に同期しません。フェールオーバー後にデータを復元できるように、アクティブ Management Center で Threat Intelligence Director データの定期的なバックアップを実行することを推奨します。

アクティブな Management Center で Threat Intelligence Director のデータの復元を試みる前に、アクティブピアで同期を一時停止します。詳細については、「」『Cisco Secure Firewall Management Center アドミニストレーションガイド』の「Pausing Communication Between Paired Firepower Management Centers」を参照してください。

表 2. Threat Intelligence Director 関連のバックアップおよび復元ファイルの内容
Threat Intelligence Director 関連ファイルの内容	バックアップの選択	復元の選択
要素データ	バックアップ構成	設定データの復元（Restore Configuration Data）
Secure Firewall Management Center イベントデータ	イベントのバックアップ	イベントデータの復元（Restore Event Data）
Threat Intelligence Director 構成および Threat Intelligence Director データ	Threat Intelligence Director のバックアップ	Threat Intelligence Director データの復元（Restore Threat Intelligence Director Data）

Threat Intelligence Director インシデントおよびオブザベーションデータの分析

Threat Intelligence Director 要素によって生成されたインシデントおよびオブザベーションデータを分析するには、インシデント表およびインシデント詳細ページを使用します。

監視とインシデント生成

Threat Intelligence Director は、インジケータに対する最初のオブザーバブルがトラフィックに見られたときにインシデントを生成します。単一の監視後、簡易インジケータが完全に実現されます。複雑なインジケータは、1 つ以上の追加の監視がそのパターンを実行するまで、部分的に実現されます。複雑なインジケータは、必ずしも単一のトランザクション中に達成される必要はありません。各オブザーバブルは、異なるトランザクションにより、時間の経過とともに個別に達成できます。

（注）

インジケータのパターンを評価するときに、Threat Intelligence Director は、サポートされていない無効なオブジェクトと、ブロックしないリストにあるオブザーバブルを無視します。

インシデントが完全に実現された後、その後の監視で新しいインシデントがトリガーされます。

Threat Intelligence Director が上記の例からのオブザーバブルを取り込み、オブザーバブルが順番に確認されると、インシデント生成は次のように進行します。

システムがトラフィック中のオブザーバブル A を識別すると、Threat Intelligence Director は次のようになります。
- インジケータ 1 に対して完全に実現されたインシデントを生成します。
- インジケータ 2 とインジケータ 3 に対して、部分的に実現されたインシデントを生成します。
システムがトラフィック中のオブザーバブル B を識別すると、Threat Intelligence Director は次のようになります。
- インジケータ 2 については、パターンが達成されたのでインシデントを [完全に実現（fully-realized）] に更新します。
- インジケータ 3 については、インシデントを [部分的に実現（partially-realized）] に更新します。
システムがトラフィック中のオブザーバブル C を識別すると、Threat Intelligence Director は次のようになります。
- インジケータ 3 については、パターンが達成されたのでインシデントを [完全に実現（fully-realized）] に更新します。
システムがオブザーバブル A をもう一度識別すると、Threat Intelligence Director は次のようになります。
- インジケータ 1 に対して新しい完全に実現されたインシデントを生成します。
- インジケータ 2 とインジケータ 3 に対して、新しい部分的に実現されたインシデントを生成します。

特定のインジケータが複数のソースに存在する場合、重複インシデントが表示される場合があります。詳細については、Threat Intelligence Director のトラブルシューティングを参照してください。

インシデントは実際のトラフィックによってのみ生成されることに注意してください。URL B のオブザーバブルがあり、ユーザーが URL B へのリンクを表示する URL A にアクセスした場合は、ユーザーが URL B のリンクをクリックしない限り、インシデントは発生しません。

インシデントの表示と管理

[インシデント（Incidents）] ページには、最大 110 万件の最新の Threat Intelligence Director インシデントに関する要約情報が表示されます。（インシデントサマリー情報を参照）。

始める前に

Threat Intelligence Director のセットアップ方法の説明に従って機能を設定します。
監視とインシデント生成の説明を読んで、オブザベーションとインシデント生成について理解します。

手順

ステップ 1	[統合（Integration）] > [インテリジェンス（Intelligence）] > [インシデント（Incidents）] を選択します。
ステップ 2	次のようにインシデントを確認します。 1 つ以上のフィルタを追加するには、[フィルタ（Filter）]（）をクリックします。デフォルトのフィルタは 6 時間です。詳細については、テーブルビューでの Threat Intelligence Director データのフィルタ処理を参照してください。 Threat Intelligence Director でインシデントが最後に更新された日時を表示するには、[最終更新日（Last Updated）] 列内の値の上にカーソルを置きます。インシデントに関連付けられているインジケータについての詳細を表示するには、[インジケータ名（Indicator Name）] 列内のテキストをクリックします（インジケータの表示と管理を参照）。
ステップ 3	[インシデントID（Incident ID）] 列の値をクリックして、その他の詳細を表示します。表示される詳細の説明については、インシデントの詳細を参照してください。インジケータの詳細を表示するには、ウィンドウ下部の [インジケータ（Indicator）] 見出しのインジケータ値（IP アドレスや SHA-256 の値など）をクリックします。オブザベーションの詳細を表示するには、[オブザベーション（Observations）] 見出しのすぐ下のオブザベーションの左にある矢印をクリックします。 [Security Intelligence Events（セキュリティインテリジェンスイベント）] ページでこのインシデントを表示するには、オブザベーション詳細セクションで [イベント（Events）] リンクをクリックします。
ステップ 4	（オプション）インシデント詳細ページで詳細情報を入力します。ヒント：次のオプションの一貫性と有用性を最大化するには、方針を作成したうえで、命名規則、カテゴリの選択、および信頼度レベル基準を文書化します。 [名前（Name）]、[説明（Description）] および [カテゴリ（Category）] フィールドに任意の値を入力します。 [信頼度（Confidence）] の評価レベルをクリックします。インシデントの調査ステータスを指定するには、[ステータス（Status）] フィールドのドロップダウンリストから値を選択します。

インシデントサマリー情報

[インシデント（Incidents）] ページには、すべての Threat Intelligence Director インシデントのサマリー情報が表示されます。

表 3. インシデントサマリー情報
フィールド	説明
最終更新日	システムまたはユーザが最後にインシデントを更新してからの日数。更新の日時を表示するには、この列の値にマウスオーバーします。
[インシデント ID（Incident ID）]	インシデントの固有識別子。この ID の形式は次のとおりです。 `<type>-<date>-<number>` `<type>`：インシデントに関係するインジケータまたはオブザーバブルのタイプ。単純なインジケータの場合、この値はオブザーバブルのタイプ（`IP`（IPv4 または IPv6）、`URL`（URL）、`DOM`（ドメイン）、または `SHA`（SHA-256））を示します。複雑なインジケータの場合、この値は `COM` です。 `<date>`：インシデントが作成された日付（`yyyymmdd`）。 `<number>`：インシデント番号。これは、1 日に作成されたインシデントの中での順序を示す番号です。この順序は 0 で始まることに注意してください。たとえば、`DOM-20170828-10` はその日に作成された 11 番目のインシデントです。識別子の隣には、インシデントが [部分的に実現（Partially Realized）] か、[完全に実現（Fully Realized）] かを示すアイコンが表示されます。詳細については、監視とインシデント生成を参照してください。
[インジケータ名（Indicator Name）]	インシデントに関係するインジケータの名前。インジケータの追加情報を表示するには、この列の値をクリックします。インジケータの表示と管理を参照してください。
Type	インシデントに関係するインジケータのタイプ。単一のオブザーバブルを含むインジケータでは、データ型（`URL`、`SHA-256` など）が表示されます。 2 つ以上のオブザーバブルを含むインジケータは、`Complex` として表示されます。
[実施アクション（Action Taken）]	インシデントに関してシステムが実行するアクション。詳細については、インシデントの詳細を参照してください。
Status（ステータス）	インシデントに関する調査のステータスです。詳細については、インシデントの詳細を参照してください。
[削除（Delete）]（）	このアイコンをクリックすると、インシデントが完全に削除されます。

インシデントの詳細

[インシデントの詳細（Incident Details）] ウィンドウには、単一の Threat Intelligence Director インシデントに関する情報が表示されます。このウィンドウは、2 つのセクションで構成されています。

インシデントの詳細：基本情報
インシデントの詳細：インジケータとオブザベーション

インシデントの詳細：基本情報

[インシデントの詳細（Incident Details）] ウィンドウの上部セクションでは、次の情報が提供されます。

フィールド

説明

[部分的に実現IncidentID（Partially-Realized IncidentID）] または [完全に実現IncidentID（Fully-Realized IncidentID）]

インシデントのステータス（部分的に実現または完全に実現）およびインシデントの一意の ID を示すアイコン。

（注）

インジケータのステータスを判断するときに、Threat Intelligence Director は、サポートされていない無効なオブザーバブルと、ブロックしないリストにあるオブザーバブルを無視します。

[既読（Opened）]

インシデントが最後に更新された日時。

Name

手動で入力するオプションのカスタムインシデント名。

ヒント：[説明（Description）] フィールド（ウィンドウの下部）にソースからの情報がある場合は、そのフィールドの情報を使用してインシデントに名前を付けます。

説明

手動で入力するオプションのカスタムインシデント説明。

ヒント：[説明（Description）] フィールド（ウィンドウの下部）にソースからの情報がある場合は、そのフィールドの情報を使用してインシデントについて説明します。

[オブザベーション（Observations）]

インシデント内のオブザベーションの数。

信頼性（Confidence）

インシデントの相対的な重要度を示すために手動で選択できるオプションの評価。

[実施アクション（Action Taken）]

システムによって実行されるアクション：[モニタ済み（Monitored）]、[ブロック済み（Blocked）]、または [部分的にブロック済み（Partially Blocked）]。

[部分的にブロック済み（Partially Blocked）] は、インシデントに [モニタ済み（Monitored）] と [ブロック済み（Blocked）] の両方のオブザベーションが含まれていることを示します。

（注）

[実施アクション（Action Taken）] は、システムによって実行されるアクションを示しますが、必ずしも Threat Intelligence Director で選択されているアクションではありません。詳細については、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

カテゴリ（Category）

インシデントに手動で追加するオプションのカスタムタグまたはキーワード。

Status（ステータス）

インシデントの分析の現在の段階を示す値。すべてのインシデントは、[ステータス（Status）] を初めて変更するまでは [新規（New）] です。

このフィールドは任意です。組織のニーズに応じて、以下のステータス値を使用することを検討してください。

[新規（New）]：インシデントには調査が必要ですが、まだ調査を開始していません。
[オープン（Open）]：現在インシデントを調査しています。
[クローズ済み（Closed）]：インシデントを調査し、対処しました。
[却下（Rejected）]：インシデントを調査し、実行するアクションはないと判断しました。

[削除（Delete）]（削除アイコン）

このアイコンをクリックすると、このインシデントが完全に削除されます。

インシデントの詳細：インジケータとオブザベーション

[インシデントの詳細（Incident Details）] ウィンドウの下部セクションには、インジケータとオブザベーションの詳細情報が表示されます。この情報は、[インジケータ（Indicator）] フィールド、インジケータパターン、および [オブザベーション（Observations）] フィールドとして編成されています。

[インジケータ（Indicator）] セクション

インジケータの詳細を初めて表示するときには、このセクションにはインジケータ名のみが表示されます。

[インジケータ（Indicator）] ページでインジケータを表示するには、インジケータ名をクリックします。

インジケータ名の隣にある下矢印をクリックすると、インシデントを閉じることなくインジケータの詳細を表示できます。詳細フィールドには、次のものがあります。

表 5. インジケータのフィールド
フィールド	説明
Description	ソースから提供されたインジケータの説明。
ソース（Source）	インジケータが含まれていたソース。このリンクをクリックすると、完全なソースの詳細にアクセスできます。
[有効期限（Expires）]	ソースの [TTL] 値に基づく、インシデントが期限切れになる日時。
操作（Action）	インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。
パブリッシュ	インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。
[STIX のダウンロード（Download STIX）]	ソースタイプが `STIX` の場合は、このボタンをクリックして STIX ファイルをダウンロードします。

[インジケータパターン（Indicator Pattern）]

インジケータパターンは、インジケータを構成するオブザーバブルおよび演算子のグラフィカル表示です。演算子はインジケーター内のオブザーバブルをリンクします。AND 関係は [AND] 演算子で示されます。OR 関係は、OR 演算子、または複数のオブザーバブルの緊密なグループ化によって示されます。

パターンのオブザーバブルがすでに観測されている場合、オブザーバブルボックスは白色です。オブザーバブルがまだ観測されていない場合、オブザーバブルボックスは灰色です。

インジケータパターンで、次のようにします。

[ブロックしないリストに追加（Add to Do-Not-Block List）] ボタンをクリックして、オブザーバブルをブロックしないリストに追加します。このアイコンは、白色と灰色の両方のオブザーバブルボックスに表示されます。詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。
白色のオブザーバブルボックスにマウスオーバーすると、[オブザベーション（Observations）] セクションで関連するオブザベーションが強調表示されます。
白色のオブザーバブルボックスをクリックすると、[オブザベーション（Observations）] セクションで関連するオブザベーションが強調表示され、そのオブザベーションがスクロールされて表示されて（複数のオブザベーションが存在する場合）、そのオブザベーションの詳細表示が展開されます。
インジケータパターンで灰色のオブザーバブルボックスをマウスオーバーまたはクリックした場合、[オブザベーション（Observations）] セクションに変化はありません。これは、オブザーバブルがまだ観測されていないため、表示するオブザベーションの詳細がないためです。

[オブザベーション（Observations）] セクション

デフォルトでは、[オブザベーション（Observations）] セクションには、次のような概要情報が表示されます。

オブザベーションをトリガーしたオブザーバブルのタイプ（たとえば、[ドメイン（Domain）]）
オブザーバブルを構成するデータ

オブザベーションが最初のオブザベーションか、それ以降のオブザベーションか（たとえば、[最初の（1st）] または [3 つ目（3rd）]）

（注）

1 つのオブザーバブルが 3 回以上観測された場合、Threat Intelligence Director では最初と最後のオブザベーションの詳細を表示します。中間のオブザベーションの詳細は表示されません。

オブザベーションの日時
オブザーバブルに設定されているアクション

[オブザベーション（Observations）] セクションでオブザベーションにマウスオーバーすると、インジケータパターンの関連するオブザーバブルが強調表示されます。

[オブザベーション（Observations）] セクションでオブザベーションをクリックした場合は、インジケータパターンで関連するオブザーバブルが強調表示され、関連する最初のオブザーバブルがスクロールされて表示されます（複数のオブザーバブルが存在する場合）。また、オブザベーションをクリックすると、[オブザベーション（Observations）] セクションのオブザベーションの詳細が展開されます。

オブザベーションの詳細には、次のようなフィールドがあります。

表 6. オブザベーションの詳細のフィールド
フィールド	説明
[送信元（SOURCE）]	オブザベーションをトリガーしたトラフィックの送信元 IP アドレスおよびポート。
DESTINATION	オブザベーションをトリガーしたトラフィックの宛先 IP アドレスおよびポート。
[その他の情報（ADDITIONAL INFORMATION）]	オブザベーションをトリガーしたトラフィックに関連する DNS および認証情報。
イベント	このクリッカブルリンクは、オブザベーションによって接続、セキュリティインテリジェンス、ファイル、またはマルウェアイベントが生成された場合に表示されます。リンクをクリックして、Secure Firewall Management Center イベントテーブルでイベントを表示します。Cisco Secure Firewall Management Center アドミニストレーションガイドを参照してください。

Threat Intelligence Director オブザベーションのイベントの表示

Threat Intelligence Director オブザベーションによって生成される Secure Firewall Management Center イベントについて詳しくは、Secure Firewall Management Center イベントでの Threat Intelligence Director オブザベーションを参照してください。

Threat Intelligence Director 関連のイベントについてログに記録されるシステムアクションは、Threat Intelligence Director の相互作用やその他の Secure Firewall Management Center 機能によって異なります。アクションの優先順位付けについて詳しくは、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

始める前に

Threat Intelligence Director のセットアップ方法の説明に従って機能を設定します。
Threat Intelligence Director をサポートするためのポリシーの設定の説明に従って、アクセスコントロールポリシーで Threat Intelligence Director に必要なイベントロギングを有効にしたことを確認します。

手順

ステップ 1	[統合（Integration）] > [インテリジェンス（Intelligence）] > [インシデント（Incidents）] を選択します。
ステップ 2	インシデントの [インシデント ID（Incident ID）] 値をクリックします。
ステップ 3	[インジケータ（Indicator）] セクションでオブザベーションをクリックして、オブザベーションボックスを表示します。
ステップ 4	オブザベーションボックスの左上隅にある矢印をクリックしてボックスを展開します。
ステップ 5	オブザベーション情報で [イベント（Events）] リンクをクリックします。セキュリティインテリジェンスイベントの詳細については、『Cisco Secure Firewall Management Center アドミニストレーションガイド』の「接続イベントとセキュリティインテリジェンスのイベント」を参照してください。

Secure Firewall Management Center イベントでの Threat Intelligence Director オブザベーション

アクセスコントロールポリシーを完全に制御する場合、Threat Intelligence Director オブザベーションによって、次の Secure Firewall Management Center イベントが生成されます。

表 7. オブザベーションによって生成される Secure Firewall Management Center イベント
オブザベーションの内容	接続イベントの表	セキュリティインテリジェンスイベントの表	ファイルイベントの表	マルウェアイベントの表
SHA-256	対応	非対応	対応	○（判定結果がマルウェアまたはカスタム検出の場合）。
[ドメイン名（Domain Name）]、[URL]、または [IPv4/IPv6]	○ Threat Intelligence Director 関連の接続イベントは、Threat Intelligence Director 関連の [セキュリティインテリジェンスカテゴリ（Security Intelligence Category）] 値によって識別されます。	○ Threat Intelligence Director 関連のセキュリティインテリジェンスイベントは、Threat Intelligence Director 関連の [セキュリティインテリジェンスイベント（Security Intelligence Category）] 値により識別されます。	非対応	非対応

アクションに影響を与える要因

システムがアクションを取るタイミングや、Threat Intelligence Director オブザーバブルと一致するトラフィックを検出したときにシステムが取るアクションは多くの要因によって決定されます。

セキュリティインテリジェンスのような機能は、Threat Intelligence Director がアクションを起こす前にアクションを起こします。詳細は、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。
実行されるアクションは一般に、オブザーバブルに対して構成されたアクション（親インジケータまたはソースに対して構成されたアクションとは異なる可能性がある）となります。
STIX ソースには複雑なインジケータが含まれている可能性があるため、ソースのアクション設定は [モニター（Monitor）] にのみ設定できます。ただし、STIX フィードまたはファイルに含まれている個々の簡易インジケータまたはオブザーバブルは [ブロック（Block）] に設定できます。
インジケータおよびオブザーバブルのアクション設定は、継承するかまたは継承をオーバーライドするように個別に設定できます。Threat Intelligence Director 設定における継承およびソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。
それ以外の場合は実用的なトラフィックが、[ブロックしない（Do Not Block）] リストに含まれている可能性があります。詳細は、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加を参照してください。
設定されたアクションは、部分的および完全に実現されたインシデントの両方に対して実行されます。
複雑なインジケータに基づくインシデントは部分的にブロックできます。これは、インジケータにモニタ対象のオブザーバブルとブロックされたオブザーバブルの両方が含まれている場合に発生する可能性があります。
公開の一時停止は、システムが実行するアクションに影響します。公開の一時停止についておよびソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。
Threat Intelligence Director 機能を一時停止すると、すべての操作ができなくなります。この機能を再開した後、実行可能なデータが以前と異なる場合があります。詳細については、Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去を参照してください。

Threat Intelligence Director-Management Center のアクションの優先順位付け

Threat Intelligence Director のオブザーバブルアクションが Management Center のポリシーアクションと競合する場合は、システムが次のようにアクションに優先順位を付けます。

セキュリティインテリジェンスのブロックしないリスト
TID ブロック（TID Block）
セキュリティインテリジェンスブロック
TID モニター
セキュリティインテリジェンスモニター

具体的には次のとおりです。

表 8. Threat Intelligence Director URL 監視可能アクション対セキュリティインテリジェンスアクション
設定：セキュリティインテリジェンスアクション	設定：Threat Intelligence Director 監視可能アクション	Threat Intelligence Director インシデントフィールド：実行されるアクション	セキュリティインテリジェンスイベントのフィールド：
設定：セキュリティインテリジェンスアクション	設定：Threat Intelligence Director 監視可能アクション	Threat Intelligence Director インシデントフィールド：実行されるアクション	操作	セキュリティインテリジェンスカテゴリ（Security Intelligence Category）	理由
`[ブロックしない（Do Not Block）]`	[モニター（Monitor）] または [ブロック（Block）]	TID インシデントなし	セキュリティインテリジェンスイベントなし
`ブロック（Block）`	`モニター`	`ブロック（Block）`	`ブロック（Block）`	システム分析により決定（を参照）セキュリティインテリジェンスカテゴリ	`URL Block`
`ブロック（Block）`	`ブロック（Block）`	`ブロック（Block）`	`ブロック（Block）`	`TID URL ブロック（TID URL Block）`	`URL Block`
`モニター（Monitor）`	`モニター（Monitor）`	`監視対象（Monitored）`	セキュリティインテリジェンスと TID の後に処理されたアクセス制御ルールによって決定されます。	`TID URL モニター`	`URL Monitor`
`モニター（Monitor）`	`ブロック（Block）`	`ブロック`	`ブロック（Block）`	`TID URL ブロック（TID URL Block）`	`URL Block`

表 9. Threat Intelligence Director IPv4/IPv6 監視可能アクション対セキュリティインテリジェンスアクション
設定：セキュリティインテリジェンスアクション	設定：Threat Intelligence Director 監視可能アクション	Threat Intelligence Director インシデントフィールド：実行されるアクション	セキュリティインテリジェンスイベントのフィールド：
設定：セキュリティインテリジェンスアクション	設定：Threat Intelligence Director 監視可能アクション	Threat Intelligence Director インシデントフィールド：実行されるアクション	操作	セキュリティインテリジェンスカテゴリ（Security Intelligence Category）	理由
`[ブロックしない（Do Not Block）]`	[モニター（Monitor）] または [ブロック（Block）]	TID インシデントなし	セキュリティインテリジェンスイベントなし
`ブロック（Block）`	`モニター`	TID インシデントなし	`ブロック（Block）`	システム分析により決定（を参照）セキュリティインテリジェンスカテゴリ	`IP Block`
`ブロック（Block）`	`ブロック（Block）`	`ブロック（Block）`	`ブロック（Block）`	`TID IPv4 Block` `TID IPv6 Block`	`IP Block`
`モニター（Monitor）`	`モニター（Monitor）`	`監視対象（Monitored）`	セキュリティインテリジェンスと TID の後に処理されたアクセス制御ルールによって決定されます。	`TID IPv4 モニタ` `TID IPv6 Monitor`	`IP Monitor`
`モニター（Monitor）`	`ブロック（Block）`	`ブロック`	`ブロック（Block）`	`TID IPv4 Block` `TID IPv6 Block`	`IP Block`

表 10. Threat Intelligence Director ドメイン名の監視可能アクション対 DNS ポリシーアクション
設定：DNS ポリシーアクション	設定：Threat Intelligence Director ドメイン名の監視可能アクション	Threat Intelligence Director インシデントフィールド：実行されるアクション	セキュリティインテリジェンスイベントのフィールド：
設定：DNS ポリシーアクション	設定：Threat Intelligence Director ドメイン名の監視可能アクション	Threat Intelligence Director インシデントフィールド：実行されるアクション	操作	セキュリティインテリジェンスカテゴリ（Security Intelligence Category）	理由
`[ブロックしない（Do Not Block）]`	[モニター（Monitor）] または [ブロック（Block）]	TID インシデントなし	セキュリティインテリジェンスイベントなし
`Drop`, `Domain Not Found` `Sinkhole—Log` `Sinkhole—Block and Log`	`モニター（Monitor）`	`ブロック（Block）`	`ブロック（Block）`	システム分析により決定（を参照）セキュリティインテリジェンスカテゴリ	`DNS ブロック（DNS Block）`
	`ブロック（Block）`	`ブロック`	`ブロック（Block）`	`TID ドメイン名ブロック`	`DNS ブロック（DNS Block）`
`モニター（Monitor）`	`モニター（Monitor）`	`監視対象（Monitored）`	セキュリティインテリジェンスと TID の後に処理されたアクセス制御ルールによって決定されます。	`TID ドメイン名モニター`	`DNS モニター（DNS Monitor）`
`モニター（Monitor）`	`ブロック（Block）`	`ブロック`	`ブロック（Block）`	`TID ドメイン名ブロック`	`DNS ブロック（DNS Block）`

表 11. TID SHA-256 監視可能アクション対マルウェアクラウドルックアップファイルポリシー
ファイル傾向（File Disposition）	Threat Intelligence Director SHA-256 監視可能アクション	Threat Intelligence Director インシデントで行われるアクション	ファイルイベントでのアクション	マルウェアイベントでのアクション
`クリーン（Clean）`	[モニタ（Monitor）] または [ブロック（Block）]	`監視対象（Monitored）`	`マルウェアクラウドルックアップ（Malware Cloud Lookup）`	適用対象外
`Malware`	[モニタ（Monitor）] または [ブロック（Block）]	`監視対象（Monitored）`	`マルウェアクラウドルックアップ（Malware Cloud Lookup）`	適用対象外
`Custom`	[モニタ（Monitor）] または [ブロック（Block）]	`監視対象（Monitored）`	SHA-256 がカスタム検出リストにない場合は、[マルウェアクラウドルックアップ（Malware Cloud Lookup）]。 SHA-256 がカスタム検出リストにある場合は、[カスタム検出（Custom Detection）]。	SHA-256 がカスタム検出リストにない場合は、[マルウェアクラウドルックアップ（Malware Cloud Lookup）]。 SHA-256 がカスタム検出リストにある場合は、[カスタム検出（Custom Detection）]。
`Unknown`	[モニタ（Monitor）] または [ブロック（Block）]	`監視対象（Monitored）`	`マルウェアクラウドルックアップ（Malware Cloud Lookup）`	適用対象外

（注）

Threat Intelligence Director の一致は、システムが動的分析用にファイルを送信する前に発生します。

表 12. TID SHA-256 監視可能アクション対マルウェアブロックファイルポリシー
ファイル傾向（File Disposition）	Threat Intelligence Director SHA-256 監視可能アクション	Threat Intelligence Director インシデントで行われるアクション	ファイルイベントでのアクション	マルウェアイベントでのアクション
[正常（Clean）] または [不明（Unknown）]	`モニター（Monitor）`	`監視対象（Monitored）`	`マルウェアクラウドルックアップ（Malware Cloud Lookup）`	適用対象外
[正常（Clean）] または [不明（Unknown）]	`ブロック（Block）`	`ブロック（Block）`	SHA-256 がカスタム検出リストにない場合は、[TID ブロック（TID Block）]。変更されたファイル性質は [カスタム（Custom）] です。 SHA-256 がカスタム検出リストにある場合は、[カスタム検出ブロック（Custom Detection Block）]。	`TID ブロック（TID Block）` 変更されたファイル性質は [カスタム（Custom）] です。
[マルウェア（Malware）] または [カスタム（Custom）]	`モニター（Monitor）`	`ブロック（Block）`	`マルウェアブロック（Block Malware）`	`マルウェアブロック（Block Malware）`
[マルウェア（Malware）] または [カスタム（Custom）]	`ブロック（Block）`	`ブロック（Block）`	SHA-256 がカスタム検出リストにない場合は、[TID ブロック（TID Block）]。変更されたファイル性質は [カスタム（Custom）] です。 SHA-256 がカスタム検出リストにある場合は、[カスタム検出ブロック（Custom Detection Block）]。	`TID ブロック（TID Block）` 変更されたファイル性質は [カスタム（Custom）] です。

Threat Intelligence Director 設定の表示および変更

必要に応じて、次の情報を使用して設定を見直し、微調整します。

要素（管理対象デバイス）の Threat Intelligence Director ステータスの表示

管理対象デバイスとして Management Center に登録されているすべてのデバイスは、[要素（Elements）] ページに自動的に表示されます。すべての（Threat Intelligence Director をサポートするためのポリシーの設定で指定されたとおりに）適切に構成された要素は、要素が追加される前に取り込まれたものを含めて、現在公開されているすべてのオブザーバブルを受信します。

手順

ステップ 1

[統合（Integration）] > [インテリジェンス（Intelligence）] > [要素（Elements）] を選択します。 > >

ステップ 2

要素が接続され、Threat Intelligence Director が有効になっているかどうかを確認するには、要素名の横にあるアイコンにカーソルを合わせます。

（注）

展開後、適用されたアクセスコントロールポリシーと TID が有効かどうかなど、このページの情報が更新されるまで、最大 5 分かかる場合があります。

ソースの表示と管理

[ソース（Sources）] ページには、設定済みのすべてのソースに関する概要情報が表示されます（ソースサマリー情報を参照）。

手順

ステップ 1

[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] を選択します。

ステップ 2

ソースを次のように表示します。

ページに表示されるソースをフィルタ処理するには、[フィルタ（Filter）]（）をクリックします。詳細については、テーブルビューでの Threat Intelligence Director データのフィルタ処理を参照してください。
詳細な取り込みステータスを表示するには、[ステータス（Status）] 列のテキストの上にカーソルを移動します。詳細については、ソースステータスの詳細を参照してください。

ステップ 3

ソースを次のように管理します。

[アクション（Action）] 設定を編集するには、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。固定されているアクションがある場合、ソースの [タイプ（Type）] には、そのアクションだけがサポートされます。
[公開（Publish）] 設定を編集するには、[スライダ（Slider）]（）をクリックします。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。
Threat Intelligence Director によるソースの更新を一時停止または再開する場合は、[更新の一時停止（Pause Updates）] または [更新の再開（Resume Updates）] をクリックします。更新を一時停止すると、更新は中断されますが、既存のインジケータとオブザーバブルは TID 内に残ります。
ソースを削除するには、[削除（Delete）]（）をクリックします。ソースが現在処理中の場合、[削除（Delete）] はグレー表示になります。ソースを削除すると、そのソースに関連付けられているすべてのインジケータも削除されます。関連付けられているオブザーバブルも削除される可能性があります。ただし、システム内に残っているインジケータに関連付けられたオブザーバブルは保持されます。

ソースサマリー情報

[ソース（Sources）] ページには、設定されているすべてのソースの概要情報が表示されます。次の表で、概要表示に含まれるフィールドについて簡単に説明します。これらのフィールドの詳細については、ソースの関連設定トピックの説明を参照してください。データソースを取り込むためのオプションを参照してください。

表 13. ソースサマリー情報
フィールド	説明
名前（Name）	ソース名。
Type	ソースのデータ形式（[STIX] または [フラットファイル（Flat File）]）。
配信	Threat Intelligence Director がソースを取得するのに使用する手法。
操作（Action）	このソースに含まれるデータと一致するトラフィックに対してシステムで実行するように設定されているアクション（[ブロック（Block）] または [モニター（Monitor）]）。可用性、継承、および継承のオーバーライドを含むThreat Intelligence Director のアクションの詳細については、アクションに影響を与える要因を参照してください。
パブリッシュ	[オン（On）] または [オフ（Off）] トグル。登録されている要素（Threat Intelligence Director をサポートするために設定された管理対象デバイス）に Threat Intelligence Director がソースからのデータを公開するかどうかを指定します。インジケータは親ソースから [公開（Publish）] 設定を継承でき、オブザーバブルは親インジケータから [公開（Publish）] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。
Last Updated	Threat Intelligence Director が最後にソースを更新した日時。
Status（ステータス）	ソースの現在のステータス。 [新規（New）]：ソースは新規に作成されます。 [スケジュール済み（Scheduled）]：初回のダウンロードまたはその後の更新がスケジュールされていますが、まだ進行中ではありません。 [ダウンロード中（Downloading）]：Threat Intelligence Director が初回のダウンロードまたは更新を処理中です。 [解析中（Parsing）] または [処理中（Processing）]：Threat Intelligence Director がソースを取り込んでいます。 [完了（Completed）]：Threat Intelligence Director はソースの取り込みを終了しました。 [完了（エラーあり）（Completed with Errors）]：Threat Intelligence Director はソースの取り込みを終了しましたが、一部のオブザーバブルがサポートされていないか無効です。 [エラー（Error）]：Threat Intelligence Director による処理にエラーが発生しました。[更新間隔（Update Frequency）] が指定された TAXII ソースまたは URL ソースの場合、更新が一時停止でなければ、 Threat Intelligence Director はスケジュールされている次回の更新で再試行します。ページを更新してステータスを更新します。
[編集（Edit）]（）	このアイコンをクリックすると、ソースの設定を編集できます。
[削除（Delete）]（）	このアイコンをクリックすると、ソースが完全に削除されます。

ソースステータスの詳細

ソースの概要ページに表示されるソースの [ステータス（Status）] 値にマウスオーバーすると、Threat Intelligence Director は次の詳細情報を表示します。

データ

説明

ステータスメッセージ

ソースの現在のステータスを簡単に説明します。

最終更新日（Last Updated）

Threat Intelligence Director が最後にソースを更新した日時を表示します。

次回更新日（Next Update）

TAXII および URL ソースの場合、この値は Threat Intelligence Director が次にソースを更新する時期を指定します。

インジケータ（Indicators）

インジケータカウントを表示します。

[使用済み（Consumed）]：最近のソース更新中に Threat Intelligence Director が処理したインジケータの数。この数値は、取り込みや破棄が行われたかどうかに関係なく、その更新に含まれていたすべてのインジケータを表します。

[破棄済み（Discarded）] ：最近の更新でシステムが Threat Intelligence Director に追加しなかった無効なインジケータの数。

（注）

TAXII ソースの場合、 Threat Intelligence Director は [最終更新（Last Update）] と [合計（Total）] とに分けてインジケータ数を表示します。これは、TAXII の場合、既存のデータを置換する形式ではなく、増分データを追加する形式で更新が行われるからです。他のソースタイプのインジケータの場合、これらのソースの更新では既存のデータセットが完全に置換されるので、Threat Intelligence Director は [最終更新（Last Update）] の値のみを表示します。

あるインジケータのオブザーバブルがすべて [無効（Invalid）] の場合、 Threat Intelligence Director はそのインジケータを破棄します。

オブザーバブル（Observables）

オブザーバブルの数を表示します。

[使用済み（Consumed）]：最近のソース更新中に Threat Intelligence Director が処理したオブザーバブルの数。この数値は、取り込みや破棄が行われたかどうかに関係なく、その更新に含まれていたすべてのオブザーバブルを表します。
[サポート対象外（Unsupported）] ：最近の更新でシステムが Threat Intelligence Director に追加しなかったサポートされないオブザーバブルの数。

サポートされているオブザーバブルのタイプに関する詳細については、ソース要件でコンテンツタイプに関する情報を参照してください。

[無効（Invalid）] ：最近の更新でシステムが Threat Intelligence Director に追加しなかった無効なオブザーバブルの数。

オブザーバブルが正しく作成されていない場合は無効になります。たとえば、10.10.10.10.123 は有効な IPv4 アドレスではありません。

（注）

TAXII ソースの場合、 Threat Intelligence Director は [最終更新（Last Update）] と [合計（Total）] とに分けてオブザーバブル数を表示します。これは、TAXII の場合、既存のデータを置換する形式ではなく、増分データを追加する形式で更新が行われるからです。他のソースタイプのオブザーバブルの場合、これらのソースの更新では既存のデータセットが完全に置換されるので、Threat Intelligence Director は [最終更新（Last Update）] の値のみを表示します。

インジケータの表示と管理

インジケータは、取り込まれたソースから自動的に生成されます。このページの詳細については、インジケータサマリー情報を参照してください。

手順

ステップ 1	[インテリジェンス（Intelligence）] > [ソース（Sources）] の順に選択します。
ステップ 2	[インジケータ（Indicators）] をクリックします。
ステップ 3	現在のインジケータを次のように表示します。ページに表示されるインジケータをフィルタリングするには、[フィルタ（Filter）]（）をクリックします。詳細については、テーブルビューでの Threat Intelligence Director データのフィルタ処理を参照してください。インジケータの詳細情報（関連付けられているオブザーバブルなど）を表示するには、インジケータ名をクリックします。詳細については、インジケータの詳細を参照してください。インジケータに関連付けられているインシデントについての情報を表示するには、[インシデント（Incidents）] 列内の番号をクリックします。また、インシデントの上にカーソルを移動すると、インシデントが完全に実現されたか、部分的に実現されたかを確認できます。ソースからのインジケータの調査が Threat Intelligence Director で完了したかどうかを判別するには、[ステータス（Status）] 列を確認します。
ステップ 4	現在のインジケータを次のように管理します。 [アクション（Action）] を編集するには、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。固定されているアクションがある場合、ソースの [タイプ（Type）] には、そのアクションだけがサポートされます。 [公開（Publish）] 設定を編集するには、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。インジケータの 1 つ以上のオブザーバブルをブロックしないリストに追加するには、インジケータ名をクリックして [インジケータの詳細（Indicator Details）] ページにアクセスします。詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

インジケータサマリー情報

[インジケータ（Indicators）] ページには、設定されたソースに関連付けられているすべてのインジケータの概要情報が表示されます。

表 14. インジケータサマリー情報
フィールド	説明
タイプ	1 つオブザーバブルを持つインジケータには、そのオブザーバブルのデータタイプがリストされます（URL、SHA-256 など）。 2 つ以上のオブザーバブルを持つインジケータは、[複合（Complex）] としてリストされます。特定のオブザーバブルを確認するには、タイプの上にカーソルを移動します。
名前（Name）	インジケータ名。
ソース（Source）	インジケータが含まれていたソース（親ソース）。
[インシデント（Incidents）]	インジケータに関連付けられたすべてのインシデントに関する情報。インシデントが部分的に実現（）されるか、完全に実現（）されるかを指定するアイコン。インジケータに関連付けられたインシデント数。
操作（Action）	インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。インジケータは親ソースから [アクション（Action）] 設定を継承でき、オブザーバブルは親インジケータから [アクション（Action）] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。
パブリッシュ	インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。インジケータは親ソースから [公開（Publish）] 設定を継承でき、オブザーバブルは親インジケータから [公開（Publish）] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。
Last Updated	Threat Intelligence Director が最後にインジケータを更新した日時。
Status（ステータス）	インジケータの現在のステータス。 [保留中（Pending）]：Threat Intelligence Director はインジケータのオブザーバブルを取り込み中です。 [完了（Completed）]：Threat Intelligence Director はインジケータのオブザーバブルをすべて正常に取り込みました。 [完了（エラーあり）（Completed With Errors）]：Threat Intelligence Director はインジケータを取り込みましたが、一部のオブザーバブルがサポートされていないか無効です。

インジケータの詳細

[インジケーターの詳細（Indicator Details）] ページには、インシデントのインジケータとオブザーバブル（監視可能）データが表示されます。

表 15. インジケータの詳細情報
フィールド	説明
名前（Name）	インジケータ名。
説明	ソースから提供されたインジケータの説明。
ソース（Source）	インジケータが含まれていたソース。
有効期限	ソースの [TTL] 値に基づく、インジケータが期限切れになる日時。
操作（Action）	インジケータに関連付けられたアクション。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。インジケータは親ソースから [アクション（Action）] 設定を継承でき、オブザーバブルは親インジケータから [アクション（Action）] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。
パブリッシュ	インジケータのパブリッシュ設定。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。インジケータは親ソースから [パブリッシュ（Publish）] 設定を継承でき、オブザーバブルは親インジケータから [パブリッシュ（Publish）] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。
インジケータのパターン（Indicator Pattern）	インジケーターのパターンを形成するオブザーバブルと演算子。演算子はインジケーター内のオブザーバブルをリンクします。AND 関係は [AND] 演算子で示されます。OR 関係は、OR 演算子、または複数のオブザーバブルの緊密なグループ化によって示されます。必要に応じて、[ブロックしないリストに追加（Add to Do-Not-Block List）] ボタンをクリックして、オブザーバブルをブロックしないリストに追加します。詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

オブザーバブルの表示と管理

[オブザーバブル（Observables）] ページには、正常に取り込まれたすべてのオブザーバブルが表示されます（オブザーバブルサマリー情報を参照）。

始める前に

ソースとして使用する TAXII フィードの取得、URL からのソースの取得、またはソースとして使用するローカルファイルのアップロードの説明に従って 1 つ以上のソースを設定します。

手順

ステップ 1	[インテリジェンス（Intelligence）] > [ソース（Sources）] の順に選択します。
ステップ 2	[オブザーバブル（Observables）] をクリックします。
ステップ 3	現在のオブザーバブルを次のように表示します。ページに表示されるオブザーバブルをフィルタリングするには、[フィルタ（Filter）]（）をクリックします。詳細については、テーブルビューでの Threat Intelligence Director データのフィルタ処理を参照してください。 [値（Value）] 列の情報が途切れている場合は、値の上にカーソルを移動します。そのオブザーバブルを含むインジケータを表示するには、[インジケータ（Indicators）] 列内の番号をクリックします。[インシデント（Incidents）] ページが開き、オブザーバブルの値がフィルタとして適用されます。詳細については、インジケータの表示と管理を参照してください。
ステップ 4	現在のオブザーバブルを次のように管理します。 [アクション（Action）] を編集するには、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。オブザーバブルの [公開（Publish）] 設定を編集するには、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。オブザーバブルの有効期限を変更するには、親ソースの [TTL] を変更します。詳細については、ソースの表示と管理を参照してください。オブザーバブルをブロックしないリストに追加するには、[ブロックしないリストに追加（Add to Do-Not-Block List）] ボタンをクリックします。詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

オブザーバブルサマリー情報

[オブザーバブル（Observables）] ページには、取り込まれたすべてのオブザーバブルの概要情報が表示されます。

表 16. オブザーバブルサマリー情報
フィールド	説明
タイプ	オブザーバブル（監視可能）データのタイプ：`SHA-256`、`Domain`、`URL`、`IPv4`、または `IPv6`。
値	オブザーバブルを構成するデータ。
インジケータ（Indicators）	オブザーバブルを含む親インジケータの数。
操作（Action）	オブザーバブルに対して設定されている操作。詳細については、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集を参照してください。インジケータは親ソースから [アクション（Action）] 設定を継承でき、オブザーバブルは親インジケータから [アクション（Action）] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。
パブリッシュ	オブザーバブルのパブリッシュ設定（ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照）。インジケータは親ソースから [公開（Publish）] 設定を継承でき、オブザーバブルは親インジケータから [公開（Publish）] 設定を継承できます。詳細については、Threat Intelligence Director 設定における継承を参照してください。
更新時刻（Updated At）	Threat Intelligence Director が最後にオブザーバブルを更新した日時。
有効期限	親インジケータの [TTL] に基づいて、オブザーバブルが Threat Intelligence Director から自動的に消去される日付。
[ブロックしないリストに追加（Add to Do-Not-Block List）] ボタン	このボタンをクリックすると、オブザーバブルがブロックしないリストに追加されます。Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

テーブルビューでの Threat Intelligence Director データのフィルタ処理

手順

ステップ 1	次のいずれかの Threat Intelligence Director テーブルビューを選択します。 [統合（Integration）] > [インテリジェンス（Intelligence）] > [インシデント（Incidents）] [統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] [統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [インジケータ（Indicators）] [統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [監視可能（Observables）]
ステップ 2	[フィルタ（Filter）]（）をクリックし、フィルタ属性を選択します。
ステップ 3	そのフィルタ属性の値を選択または入力します。フィルタでは大文字/小文字が区別されます。
ステップ 4	（オプション）複数の属性でフィルタリングするには、[フィルタ（Filter）]（）をクリックし、手順 2 と手順 3 を繰り返します。
ステップ 5	前回フィルタを適用してから行った変更を取り消すには、[キャンセル（Cancel）] をクリックします。
ステップ 6	フィルタを適用してテーブルを更新するには、[適用（Apply）] をクリックします。
ステップ 7	フィルタ属性を個別に削除するには、フィルタ属性の横にある[削除（Remove）]（）をクリックし、[適用（Apply）] をクリックしてテーブルを更新します。

Threat Intelligence Director 設定における継承

Threat Intelligence Director はソースからインテリジェンスデータを取り込むと、そのソースの子オブジェクトとしてインジケータとオブザーバブルを作成します。作成時に、これらの子オブジェクトは、親設定から [アクション（Action）] および [公開（Publish）] 設定を継承します。

インジケータは、親ソースからこれらの設定を継承します。インジケータは、親ソースを 1 つしか持てません。

オブザーバブルは、親インジケータからこれらの設定を継承します。オブザーバブルは、複数の親インジケータを持つことができます。

詳細については、以下を参照してください。

複数の親からの TID 設定の継承
継承された TID 設定の上書きについて

複数の親からの TID 設定の継承

オブザーバブルに複数の親インジケータがある場合、システムはすべての親から継承した設定を比較し、オブザーバブルに最もセキュアなオプションを割り当てます。つまり、

[アクション（Action）]：[ブロック（Block）] は [モニタ（Monitor）] よりもセキュアです。
[公開（Publish）]：[オン（On）] は [オフ（Off）] よりもセキュアです。

たとえば、SourceA は IndicatorA と関連する ObservableA に関与する可能性があります。


設定	SourceA	IndicatorA	ObservableA
操作（Action）	`ブロック（Block）`	`ブロック（Block）`	`ブロック（Block）`
パブリッシュ	`オフ（Off）`	`オフ（Off）`	`オフ（Off）`

SourceB が後で ObservableA を含む IndicatorB に関与する場合、システムは ObservableA を次のように変更します。


設定	SourceB	IndicatorB	ObservableA
操作（Action）	`モニター（Monitor）`	`モニター（Monitor）`	[ブロック（Block）]（IndicatorA から継承）
パブリッシュ	`オン（On）`	`オン（On）`	[オン（On）]（IndicatorB から継承）

この例では、ObservableA には 2 つの親があります。1 つは [アクション（Action）] 設定の親で、もう 1 つは [公開（Publish）] 設定の親です。オブザーバブルの設定を手動で編集してから設定を元に戻した場合、[アクション（Action）] 設定が IndicatorA 値に設定され、[公開（Publish）] 設定が IndicatorB 値に設定されます。

継承された TID 設定の上書きについて

継承された設定を上書きするには、子レベルで設定を変更します。ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集およびソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。継承された設定を上書きすると、親オブジェクトに変更にかかわらず、子オブジェクトではその設定が保持されます。

たとえば、上書きを設定せずに、次の元の設定で開始するとします。


設定	SourceA	IndicatorA	ObservableA1	ObservableA2
パブリッシュ	`オフ（Off）`	`オフ（Off）`	`オフ（Off）`	`オフ（Off）`

IndicatorA の設定を上書きした場合、設定は次のようになります。


設定	SourceA	IndicatorA	ObservableA1	ObservableA2
パブリッシュ	`オフ（Off）`	`オン（On）`	`オン（On）`	`オン（On）`

この場合、SourceA の [公開（Publish）] 設定への変更は、IndicatorA に自動的にはカスケードされなくなります。ただし、オブザーバブルの設定は現在値を上書きするようには設定されていないため、IndicatorA から ObservableA1 および ObservableA2 への継承は続行されます。

後から ObservableA1 の設定を上書きする場合は、次のようになります。


設定	SourceA	IndicatorA	ObservableA1	ObservableA2
パブリッシュ	`オフ（Off）`	`オン（On）`	`オフ（Off）`	`オン（On）`

IndicatorA の [公開（Publish）] 設定への変更は、ObservableA1 に自動的にはカスケードされなくなります。ただし、ObservableA2 は上書き値には設定されていないため、これらの変更は引き続き ObservableA2 にカスケードされます。

オブザーバブルレベルでは、上書き設定から継承された設定に戻すことができ、システムは、親インジケータからそのオブザーバブルへの設定変更のカスケードを自動的に再開します。

ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集

（注）

親のアクションを編集すると、すべての子に対しアクションが設定されます。ソースレベルでアクションを編集すると、そのすべてのインジケータにアクションが設定されます。インジケータレベルでアクションを編集すると、そのオブザーバブルのすべてに対してアクションが設定されます。
子のアクションを編集すると、継承が中断されます。インジケータレベルでアクションを編集し、続いてソースレベルで編集すると、個々のインジケータのアクションを編集するまで、インジケータのアクションが保持されます。監視可能レベルでアクションを編集し、続いてインジケータレベルで編集すると、個々のオブザーバブルのアクションを編集するまで、オブザーバブルのアクションが保持されます。監視可能レベルでは、親インジケータのアクションに自動的に復元できます。継承の詳細については、Threat Intelligence Director 設定における継承を参照してください。

他のアクションに影響を与える要因を確認することもできます。

手順

ステップ 1

次のいずれかを選択します。

[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）]

（注）

Threat Intelligence Director は、ソースレベルでの TAXII ソースのブロックをサポートしていません。TAXII ソースに簡易インジケータが含まれている場合、インジケータレベルまたは監視可能レベルでブロックすることができます。

[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [インジケータ（Indicators）] > > >

（注）

Threat Intelligence Director は、複雑なインジケータのブロックをサポートしていません。代わりに、複雑なインジケータ内で個々のオブザーバブルをブロックします。

[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [監視可能（Observables）]

ステップ 2

[アクション（Action）] ドロップダウンを使用して、または Block ( block icon ) を選択します。

ステップ 3

（オブザーバブルのみ）親インジケータからアクション設定を継承し直すには、オブザーバブルの [アクション（Action）] 設定の横にある [復元（Revert）] をクリックします。

公開の一時停止について

機能レベルで公開を一時停止すると、要素に保存されているすべての Threat Intelligence Director オブザーバブルが消去されます。つまり、Threat Intelligence Director は脅威を検出、監視、ブロックすることはできません。システム上の他のセキュリティ機能は影響を受けません。
ソース、インジケータ、またはオブザーバブルレベルで公開を一時停止すると、システムは一時停止された Threat Intelligence Director オブザーバブルを要素から削除し、トラフィックと一致しないようにします。
親のパブリケーションを一時停止すると、すべての子が一時停止します。ソースレベルで公開を一時停止すると、そのすべてのインジケータの公開が一時停止されます。インジケータレベルで公開を一時停止すると、そのすべてのオブザーバブルの公開が一時停止されます。
子のパブリケーションを一時停止すると、継承が中断されます。インジケータレベルで公開を一時停止し、その後にソースレベルで公開すると、インジケータの個別設定を変更するまで、インジケータの公開は一時停止されたままになります。監視可能レベルで公開を一時停止し、その後にインジケータレベルで公開すると、オブザーバブルの個別設定を変更するまで、オブザーバブルの公開は一時停止されたままになります。監視可能レベルでは、親インジケータの公開ステータスに自動的に復元できます。継承の詳細については、Threat Intelligence Director 設定における継承を参照してください。
アップロードされたソースの公開は、インジケータレベルでのみ一時停止することができます。
オブザーバブルの公開を一時停止することと、オブザーバブルをブロックしないリストに追加することの比較については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。
個々のオブザーバブルまたはインジケータに対して公開または一時停止の設定を指定した場合、更新プログラムに同じオブザーバブルまたはインジケータが含まれている場合、ソースの更新によってその設定が変わることはありません。
オブジェクト管理ページで公開を無効にすることができます。オブザーバブルのパブリケーション頻度の変更を参照してください。
更新を一時停止する [ソース（Sources）] ページ上のオプションは、要素へのデータの公開には関連しません。フィードから Management Center 上のソースを更新する場合に適用されます。

Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去

注意	この設定により、すべての要素への公開が一時停止され、要素に保存されたすべての Threat Intelligence Director オブザーバブルが消去され、Threat Intelligence Director 機能を使用したトラフィックの検査が停止されます。より細かいレベルでオブザーバブルを無効にするには、ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

管理センター上のデータ（既存のインシデントと設定済みのソース、インジケータ、オブザーバブル、およびソースの取り込み）は、この設定の影響を受けません。

手順

ステップ 1	[インテリジェンス（Intelligence）] > [設定（Settings）] の順に選択します。
ステップ 2	[一時停止（Pause）] をクリックします。

次のタスク

要素への Threat Intelligence Director データの同期とオブザベーションの生成を再開する準備ができたら、このページから手動で公開を [再開（Resume）] します。管理センター上の既存のオブザーバブルがすべての要素に公開されます。

ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開

ソースレベルで公開が有効になっている場合、システムは最初のソースデータとそれに続く以下のような変更を自動的に公開します。

定期的なソースの更新からの変更
システムアクションに起因する変更（TTL の有効期限など）
ユーザーが開始した変更（インジケータやオブザーバブルの [アクション（Action）] 設定の変更など）

（注）

デバイス（要素）から一度にすべての Threat Intelligence Director オブザーバブルを消去するには、Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去を参照してください。

始める前に

公開を一時停止する前に、公開の一時停止についてに記載されている影響を把握してください。

手順

ステップ 1

次のいずれかを選択します。

[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）]
[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [インジケータ（Indicators）]
[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [監視可能（Observables）]

ステップ 2

[公開（Publish）] [スライダ（Slider）]（ [スライダ（Slider）] アイコン）を検索して、要素への公開を切り替えるために使用します。

ステップ 3

（オブザーバブルのみ）親インジケータからパブリケーション設定を継承し直す場合は、オブザーバブルの [公開（Publish）] 設定の横にある [復元（Revert）] をクリックします。

次のタスク

要素が変更を受け取るまで少なくとも 10 分間待機します。大規模なソースが含まれる変更には時間がかかります。
（オプション）オブザーバブルレベルで TID データのパブリケーション頻度を変更します。オブザーバブルのパブリケーション頻度の変更を参照してください。

オブザーバブルのパブリケーション頻度の変更

デフォルトでは、監視可能データ（オブザーバブル）が TID 要素に 5 分ごとに公開されます。この間隔を別の値に設定するには、次の手順を実行します。

始める前に

監視可能レベルで TID データのパブリケーションを有効にします。ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開を参照してください。

手順

ステップ 1	[オブジェクト（Objects）] > [オブジェクト管理（Object Management）]を選択します。
ステップ 2	[セキュリティインテリジェンス（Security Intelligence）] > [ネットワークリストとフィード（Network Lists and Feeds）] を選択します。
ステップ 3	[Cisco-TIDフィード（Cisco-TID-Feed）] の横にある[編集（Edit）]（）をクリックします。
ステップ 4	[更新間隔:（Update Frequency）] ドロップダウンリストから値を選択します。監視可能なデータの要素への公開を停止するには、[無効（Disable）] を選択します。その他の値を選択して、監視可能なパブリケーションの間隔を設定します。
ステップ 5	[保存（Save）] をクリックします。

Threat Intelligence Director オブザーバブルのブロックしないリストへの追加について

指定された [アクション（Action）] から簡易インジケータ内の 1 つのオブザーバブルを除外する（モニタリング/ブロッキングなしでトラフィックを通過させる）には、オブザーバブルをブロックしないリストに追加することができます。

複雑なインジケータでは、Threat Intelligence Director はトラフィックを評価するときにブロックしないリストのオブザーバブルを無視しますが、そのインジケータ内の他のオブザーバブルは引き続き評価されます。たとえば、インジケータに AND 演算子でリンクされているオブザーバブル 1 とオブザーバブル 2 が含まれていて、オブザーバブル 1 をブロックしないリストに追加すると、Threat Intelligence Director はオブザーバブル 2 が認識されたときに完全に実現されたインシデントを生成します。

これに対して、同じ複雑なインジケータで、オブザーバブル 1 をブロックしないリストに追加するのではなく、その公開を無効にすると、Threat Intelligence Director はオブザーバブル 2 が認識されたときに部分的に実現されたインシデントを生成します。

（注）

オブザーバブルをブロックしないリストに追加する場合、オブザーバブルの設定が継承されるか上書き値であるかにかかわらず、常に [アクション（Action）] 設定より優先されます。

更新プログラムに同じオブザーバブルが含まれている場合、ソースの更新は個々のオブザーバブルのブロックしないリスト設定に影響しません。

Threat Intelligence Director オブザーバブルのブロックしないリストへの追加

ブロックしないリストの使用の詳細については、Threat Intelligence Director オブザーバブルのブロックしないリストへの追加についてを参照してください。

ヒント

Web インターフェイスのいくつかの場所に [ブロックしないリストに追加（Add to Do Not Block List）] ボタン（）が表示されます。このボタンをクリックすると、これらの場所にあるいずれかのブロックしないリストにオブザーバブルを追加できます。

手順

ステップ 1	[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [監視可能（Observables）] を選択します。
ステップ 2	許可するオブザーバブルに移動します。
ステップ 3	そのオブザーバブルの（[ブロックしないリストに追加（Add to Do-Not-Block List）]）をクリックします。

次のタスク

（オプション）ブロックしないリストからオブザーバブルを削除する必要がある場合は、ボタンをもう一度クリックします。

STIX ソースファイルの表示

手順

ステップ 1	[統合（Integration）] > [インテリジェンス（Intelligence）] > [ソース（Sources）] > [インジケータ（Indicators）]を選択します。
ステップ 2	インジケータ名をクリックします。
ステップ 3	[STIXのダウンロード（Download STIX）] をクリックします。
ステップ 4	テキストエディタでこのファイルを開きます。

Threat Intelligence Director のトラブルシューティング

以下のセクションでは、Threat Intelligence Director の一般的な問題について、可能な解決策と軽減策を説明します。

フラットファイルソースを取得またはアップロードするとエラーが発生する

システムがフラットファイルソースを取得またはアップロードできない場合は、フラットファイル内のデータが [インテリジェンス（Intelligence）] > [ソース（Sources）] ページの [タイプ（Type）] 列と一致することを確認してください。

TAXII または URL のソースアップデートでエラーが発生する

TAXII または URL のソースアップデートでソースステータスエラーが発生した場合は、サーバー証明書の期限が切れていないことを確認してください。証明書の有効期限が切れている場合は、新しいサーバー証明書を入力するか、または既存のサーバー証明書を削除して、Threat Intelligence Director が新しい証明書を取得できるようにします。詳細については、Threat Intelligence Director ソースの TLS/SSL 設定の構成を参照してください。

インジケータまたはソースに対して「ブロック」アクションは使用できず、「モニター」アクションのみを使用できます。

インジケータまたはソースの個々のオブザーバブルのアクションを変更できます。

Threat Intelligence Director テーブルビューで「結果なし」と表示される

テーブルビューには、[ソース（Sources）]、[インジケータ（Indicators）]、[オブザーバブル（Observables）]、および [インシデント（Incidents）] ページが含まれます。

いずれかの Threat Intelligence Director テーブルビューにデータが表示されない場合：

テーブルフィルタを確認し、[最終更新日（Last Updated）] フィルタ属性の時間枠を拡大することを検討します（テーブルビューでの Threat Intelligence Director データのフィルタ処理を参照）。
ソースが正しく設定されていることを確認します（データソースを取り込むためのオプションを参照）。
Threat Intelligence Director をサポートするのに必要なアクセスコントロールポリシー、および関連するポリシーが設定されていることを確認します（Threat Intelligence Director をサポートするためのポリシーの設定を参照）。たとえば、SHA 256 オブザーバブルがオブザベーションを生成していない場合、展開されているアクセスコントロールポリシーに、[マルウェアクラウドルックアップ（Malware Cloud Lookup）] または [マルウェアブロック（Block Malware）] ファイルポリシーを呼び出すアクセス制御ルールが 1 つ以上含まれていることを確認します。
Threat Intelligence Director をサポートするアクセスコントロールポリシーおよび関連するポリシーが要素に展開されていることを確認します（設定変更の展開を参照）。
機能レベルで Threat Intelligence Director データパブリケーションを一時停止していないことを確認します（Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去を参照）。

システムが低速またはパフォーマンス低下を起こしている

パフォーマンスの影響の詳細については、Threat Intelligence Director のパフォーマンスへの影響を参照してください。

Secure Firewall Management Center テーブルビューに Threat Intelligence Director データが表示されない

オブザーバブルを要素に公開しても、接続、セキュリティインテリジェンス、ファイル、またはマルウェアイベントのテーブルに Threat Intelligence Director データが表示されない場合は、要素に展開されたアクセスコントロールポリシーとファイルポリシーを確認してください。詳細については、Threat Intelligence Director をサポートするためのポリシーの設定を参照してください。

1 つまたは複数の要素が Threat Intelligence Director データによって圧倒される

Threat Intelligence Director データが 1 つまたは複数のデバイスを圧倒している場合は、Threat Intelligence Director による要素に保存されているデータの公開と消去を一時停止することを検討してください。詳細については、Threat Intelligence Director の一時停止と要素からの Threat Intelligence Director データの消去を参照してください。

システムが TID ブロックの代わりにマルウェアクラウドルックアップを実行している

これは設計によるものです。詳細については、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

システムが TID アクションではなく、セキュリティインテリジェンスまたは DNS ポリシーアクションを実行している

これは設計によるものです。詳細については、Threat Intelligence Director-Management Center のアクションの優先順位付けを参照してください。

TID が無効化されている

アプライアンスにメモリを追加します。Threat Intelligence Director を使用するには、少なくとも 15 GB のメモリをアプライアンスに搭載する必要があります。
Secure Firewall Management Center の REST API アクセスを有効化します。詳細については、Cisco Secure Firewall Management Center アドミニストレーションガイドの「Enabling REST API Access」を参照してください。

システムが Threat Intelligence Director インシデントを生成しないか、または予期される Threat Intelligence Director アクションを実行しない

すべての管理対象デバイスが Threat Intelligence Director に対し適切に有効になっており、設定されていることを確認します。要素（管理対象デバイス）の Threat Intelligence Director ステータスの表示およびThreat Intelligence Director をサポートするためのポリシーの設定を参照してください。
変更内容が要素に公開されるまでには少なくとも 5 ～ 10 分かかり、大規模なデータフィードを公開する場合は、かかる時間がそれよりも著しく長くなります。
オブザーバブルに対するアクション設定を確認します。オブザーバブルの表示と管理を参照してください。
システムが実行する Threat Intelligence Director アクションに影響を与える他の要因のリストについては、アクションに影響を与える要因を参照してください。
要素（管理対象デバイス）に、予想していた脅威データが含まれていない可能性があります。公開の一時停止についてを参照してください。

特定の脅威との一度の遭遇によって、複数のインシデントが生成される

これは、単一のインジケータが複数のソースに含まれている場合に発生します。

詳細については、重複インジケータの処理を参照してください。

Threat Intelligence Director の履歴

機能

最小 Management Center

最小 Threat Defense

詳細

複数の STIX フィードに含まれるインジケータの扱い

7.1

任意（Any）

STIX フィードに同一のインジケータが含まれている場合、フィードごとにインジケータが作成され、同じインジケータに対して複数のインシデントが生成される可能性があります。以前は、最後にダウンロードされたフィードのみが有効でした。

アクションの優先順位付けの変更

6.5

任意（Any）

これらの変更は、複数の Firepower 機能を特定の 1 つのオブザーバブルに適用可能な場合に適用されます。

TID ブロッキングおよびモニタリング監視可能アクションが、セキュリティインテリジェンスを使用したブロッキングおよびモニタリングよりも優先されるようになりました。

重要	システムは引き続き、トラフィックを以前と同様に効果的に処理します。以前にブロックされたトラフィックは引き続きブロックされ、モニター対象トラフィックは引き続きモニターされます。これは、アクションに関与しているとイベント内で報告されるコンポーネントを変更するだけです。さらに、より多くの TID インシデントが生成されている場合もあります。

[ブロック（Block）] TID 監視可能アクションを設定した場合は、トラフィックがセキュリティインテリジェンスブロックアクションにも一致していても、次のようになります。
- 接続イベントのセキュリティインテリジェンスカテゴリは TID ブロックのバリアントです。
- システムは、[Blocked] のアクション実施を伴う TID インシデントを生成します。
[モニター（Monitor）] TID 監視可能アクションを設定した場合は、トラフィックがセキュリティインテリジェンスモニタールールにも一致していても、次のようになります。
- 接続イベントのセキュリティインテリジェンスカテゴリは TID モニターのバリアントです。
- システムは、[Monitored] のアクション実施を伴う TID インシデントを生成します。

以前は、どちらの場合も、システムではカテゴリが分析別に報告され、TID インシデントは生成されませんでした。

Secure Firewall Threat Intelligence Director

6.2.2

いずれか

導入された機能：外部送信元から脅威のインテリジェンスを使用して脅威を特定し処理できます。

新規画面：複数のタブがあるトップレベルの新しい [インテリジェンス（Intelligence）] メニュー

サポートされているプラットフォーム： Secure Firewall Management Center

Cisco Secure Firewall Management Center 7.4 デバイス構成ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： Secure Firewall Threat Intelligence Director

Secure Firewall Threat Intelligence Director

Secure Firewall Threat Intelligence Director の概要

Threat Intelligence Director およびセキュリティ インテリジェンス

Threat Intelligence Director のパフォーマンスへの影響

Secure Firewall Management Center

管理対象デバイス（Managed Device）

Threat Intelligence Director の要件と前提条件

モデルのサポート

サポートされるドメイン

ユーザの役割

追加の要件

プラットフォーム、要素、およびライセンスに関する要件

ホスティング プラットフォーム

要素

ライセンシング

ソース要件

ソース タイプの要件：

STIX

フラット ファイル（Flat File）

ソース コンテンツの制限事項

Threat Intelligence Director のセットアップ方法

手順

次のタスク

Threat Intelligence Director をサポートするためのポリシーの設定

手順

次のタスク

データ ソースを取り込むためのオプション

ソースとして使用する TAXII フィードの取得

手順

次のタスク

URL からのソースの取得

手順

次のタスク

ソースとして使用するローカル ファイルのアップロード

手順

次のタスク

重複インジケータの処理

Threat Intelligence Director ソースの TLS/SSL 設定の構成

始める前に

手順

次のタスク

Threat Intelligence Director アクセス権を持つユーザー ロール

Threat Intelligence Director データのバックアップおよび復元について

Threat Intelligence Director インシデントおよびオブザベーション データの分析

監視とインシデント生成

インシデントの表示と管理

始める前に

手順

インシデント サマリー情報

インシデントの詳細

インシデントの詳細：基本情報

インシデントの詳細：インジケータとオブザベーション

[インジケータ（Indicator）] セクション

[インジケータ パターン（Indicator Pattern）]

[オブザベーション（Observations）] セクション

Threat Intelligence Director オブザベーションのイベントの表示

始める前に

手順

Secure Firewall Management Center イベントでの Threat Intelligence Director オブザベーション

アクションに影響を与える要因

Threat Intelligence Director-Management Center のアクションの優先順位付け

Threat Intelligence Director 設定の表示および変更

要素（管理対象デバイス）の Threat Intelligence Director ステータスの表示

手順

ソースの表示と管理

手順

ソース サマリー情報

ソース ステータスの詳細

インジケータの表示と管理

手順

インジケータ サマリー情報

インジケータの詳細

オブザーバブルの表示と管理

始める前に

手順

Threat Intelligence Director およびセキュリティインテリジェンス

ホスティングプラットフォーム

ソースタイプの要件：

フラットファイル（Flat File）

ソースコンテンツの制限事項

データソースを取り込むためのオプション

ソースとして使用するローカルファイルのアップロード

Threat Intelligence Director アクセス権を持つユーザーロール

Threat Intelligence Director インシデントおよびオブザベーションデータの分析

インシデントサマリー情報

[インジケータパターン（Indicator Pattern）]

ソースサマリー情報

ソースステータスの詳細

インジケータサマリー情報

オブザーバブルサマリー情報

テーブルビューでの Threat Intelligence Director データのフィルタ処理

ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director アクションの編集

ソース、インジケータ、またはオブザーバブルレベルでの Threat Intelligence Director データの一時停止または公開

STIX ソースファイルの表示

フラットファイルソースを取得またはアップロードするとエラーが発生する

TAXII または URL のソースアップデートでエラーが発生する

Threat Intelligence Director テーブルビューで「結果なし」と表示される

Secure Firewall Management Center テーブルビューに Threat Intelligence Director データが表示されない

システムが TID ブロックの代わりにマルウェアクラウドルックアップを実行している

システムが TID アクションではなく、セキュリティインテリジェンスまたは DNS ポリシーアクションを実行している