エンリッチ化
Live Discover のカスタムエンリッチ化を作成できます。
スーパー管理者や管理者であるか、Endpoint Protection または Server Protection に対するフル管理者権限が必要です。
Live Discover では、クエリ結果のデータ項目を選択して、エンリッチ化など、「ピボット」アクションをさらに実行する際の基盤に使用できます。
エンリッチ化によって、サードパーティ Web サイトが開き、検出した潜在的な脅威に関する情報を参照できます。
ソフォスでは、事前定義されたエンリッチ化を提供しています。独自のものを追加することもできます。
カスタムエンリッチ化の追加
エンリッチ化を追加する方法は次のとおりです。
- 「脅威解析センタ- > 設定」を参照します。
-
「エンリッチ化」タブには、ソフォスまたは管理者によって作成されたかどうかに関わらず、すべてのエンリッチ化が表示されます。「エンリッチ化の追加」をクリックします。
-
「エンリッチ化の追加」ダイアログで、次の手順を実行します。
- 「データタイプ」を入力します。これは、クエリの結果で参照するデータです。たとえば、IP アドレスなどです。
- 「表示名」を入力します。これは、結果のデータの横にある省略記号アイコン をクリックすると、メニューに表示されます。
- 「説明」を入力します。
-
開く Web ページの「URL」を入力します。
この例で URL は
www.virustotal.com/gui/ip-address/$$ipAddress$$
です。www.virustotal.com/
は Web サイトです。gui/ip-address/
は、IP アドレスを参照するページです。$$ipAddress$$
は、参照する IP で置き換えられる SQL 変数です。この変数は、URL フィールドの上の注記に表示されます。 -
「リンクのテスト」をクリックします。
- 「保存」をクリックします。
これで、追加したエンリッチ化が、「エンリッチ化」タブに表示されます。
カスタムエンリッチ化の追加方法の説明は、以下の動画を追加参照してください。
カスタムエンリッチ化の編集または削除
自分 (または別の管理者) が作成したエンリッチ化のみを編集または削除できます。ソフォスが事前に定義したエンリッチ化を変更することはできません。
エンリッチ化を編集するには、次の手順を実行します。