クエリリスクリスト
1 つ以上のリスク リストを正常に実行してインポートすると、Log Analytics ワークスペースでインポートされたデータをクエリできるようになります。
クエリの例:
// から インポートされたThreatIntelligenceIndicatorログ から 10Recorded Future 行をリストします 脅威インテリジェンスインジケーター | Recorded Future説明 に 「 」 が含まれる | 10 分 // インポートし た ThreatIntelligenceIndicatorログ から 10 行をリストします // IP - アクティブに通信している C&C サーバーのリスクリスト 脅威インテリジェンスインジケーター | 説明 == Recorded Future" - IP - アクティブに通信している C&C サーバー " | 10 分 // からRecorded Future インポートされたThreatIntelligenceIndicatorログ から 10 行をリストします 脅威インテリジェンスインジケーター | ここで、 Description == "Recorded Future - IP - Actively Communication C&C Server " であり、 AdditionalInformation に " Cobalt Strike " が含まれています | 10 分
RecordedFuture-IOC_Enrichment のエラー
特定のテンプレートのRecorded Futureデータが欠落している場合、ロジック アプリの [前回の実行] セクションで表示すると、エラーが表示されることがあります。
最後のボックス (インシデントにコメントを追加 (V3)) が緑色の場合、インシデントについて何が起こったかを説明するコメントが作成されています。
URL エンティティに http:// または https:// がない場合、URL エンリッチメントに https:// を追加します。
レポートの問題/エラー
ロジック アプリでRecorded Futureにレポートの問題またはエラーが発生したとき。 <Logic App>Azure ポータルの -> 開発ツール -> バージョン セクションにあるロジック アプリのバージョン識別子を含めてください。
既知の問題
バージョン3.0
Microsoft Sentinel プレイブックのアップグレード エクスペリエンスで次のエラーが発生する場合があります。
回避策としては、アップグレード ウィザードを使用せずに、プレイブック テンプレート タブのテンプレートからプレイブックを再インストールして上書きします。アクティブなプレイブックを上書きする前に、ダウンロードしたリスク リスト、説明、ダウンロードの頻度をメモしてください。