適用対象: WatchGuard Advanced EPDR
IOC ギャラリー ページでは、IOC を手動で追加することも、IOC を STIX 形式でインポートすることもできます。IOC を追加する方法については、次を参照してください:IOC を管理するIOC をインポートおよびエクスポートする方法については、次を参照してください:IOC をインポートおよびエクスポートする。
設定 > IOC ギャラリー ページには、表にインポートおよび作成されたすべての IOC がリストされます。IOC のタイプに基づいて表をフィルタリングすることができます。
-
STIX (承認待ち) — IOC は外部ソースからインポートされましたが、WatchGuard Advanced EPDR でサポートされている形式に更新するための承認が必要です。詳細については、次を参照してください:IOC を管理する。
-
STIX — IOC は外部ソースからインポートされ、WatchGuard Advanced EPDR の IOC 検索での使用が承認されました。
-
ユーザーが作成 — IOC は WatchGuard Advanced EPDR で作成されました。検索での使用に承認は必要ありません。
表の各行で 
をクリックし、以下のいずれかのオプションを選択します。
- IOC を検索 — コンピュータで IOC を検索するための新しいタスクを開きます。詳細については、次を参照してください:IOC 検索タスクを作成する。
- IOC のコピーを作成 — 選択した IOC のコピーを作成します。新しい IOC を作成するにはこれを変更します。
- 元の STIX ファイルを表示 — IOC の元の STIX ファイルを開きます。STIX ファイル ページが開き、IOC の図とコードが表示されます。詳細については、次を参照してください:元の STIX ファイルを表示する。
- IOC 検出を表示 — 検出された IOC リストを開きます。詳細については、次を参照してください:侵害インジケーター ダッシュボード。
- 削除 — 選択した IOC を削除します。
- エクスポート — 選択した IOC を JSON ファイル形式にエクスポートします。
元の STIX ファイルを表示する
STIX ファイルをインポートする際には、IOC を検索タスクで使用する前に、検索ステートメントを確認し、承認する必要があります。
IOC をインポートする方法については、次を参照してください:IOC をインポートおよびエクスポートするインポートされた IOC を承認する方法については、次を参照してください:IOC を管理する。
インポートされた IOC の元の STIX ファイルを開き、コードとアクションを確認するには、 をクリックして 元の STIX ファイルを表示 を選択します。
STIX ファイル ウィンドウが開きます。
STIX ファイル ウィンドウでは、以下を行うことができます。
-
図内のアイテムをクリックしてドラッグします。
-
凡例 をクリックし、グラフ内の各アイコンの説明を表示します。
-
ビジュアル化と コード をクリックし、IOC の図またはコード定義を確認します。IOC コードはコピーすることができます。
IOC コードはインポートされたとおりに表示されますが、Advanced EPDR はその配備との互換性がないセクションを省略する場合があります。検索結果が期待通りに表示されない場合があります。