Introduction

本ユーザーマニュアルは、ユーザーの皆さまに"DeCYFIR alert"そして"ServiceNow App"のインシデント詳細へのアクセスや利用法に関する知識を提供することを目的としています。

Login

URLを起動後、以下ホームページへと移動、ユーザー名、パスワードを入力した後、" Login"ボタンをクリックします。例:https://ven04914.service-now.com/

携帯電話に認証用アプリをダウンロードし、ご利用のメールをIDとして設定する必要があります。アプリを開くと6桁のコードが生成されるため、このコードを入力し" Login"ボタンをクリックしてください。"Do not challenge for MFA on this browser for the next 8 hours"のチェックボックスを選択してください。

これでホームページに移動します。

Studio

"Studio"は全てのコーディングや設定を実行する開発者向けのページです。ユーザーは、ページの左上部分にある検索ボックスに"Studio"と入力する必要があります。入力すると検索結果が表示されます。

検索結果が表示された"Studio"をクリックすると次ページへと遷移します。

"DeCYFIR"をクリックすると下記ページに移動します。

ページの左側の"System Properties"の下に"After Parameter"、" Categories"、" Key"、"Logging Level"、"Retry"など、重要なプロパティが全て表示されます。

After Parameter

Studio

このプロパティにより、最終ジョブスケジュール時刻がUnix形式で記録され、ネットジョブの実行の度に最後に記録された時刻に基づいて以後の時間でシステムがデータ・フェッチを開始します。サンプルでは全 Categoriesで記録されています。

Categories

Studio

Data_Leak、Certificates、Attack_Surface、 phishing、IP_With_Vulnerability、Brand_Infringement、impersonation, vulnerabilityと、全部で8点の Categoriesがあり、必要な Categoriesを選択もしくは選択解除することができます。例:管理者やエンドユーザーが"vulnerability"アラートのみを必要とする場合その Categoriesのみを指定することができます。プロパティとシステムを更新する際はその選択されたアラートのみが取得されます。

Studio

Key

Studio

CyfirmaとServiceNow間の接続を確立するために使用されるパスワードです。

Logging Level

Studio

ユーザーは、分析対象のログタイプを設定できるオプションがあります。

Retry

Studio

このプロパティの設定により、問題発生時にシステムがアクティビティを実行する際の再試の回数を設定することができます。初期設定では3回と設定されています。

Scheduler

Studio

DeCYFIRからアラート取得するジョブの実行時間や間隔を設定することができ、設定後は自動化され実行されます。ユーザー実行を希望するタイミングで、"今すぐ実行"をクリックすると即座にジョブをトリガーします。"毎日"、"毎週"、"毎月"などを実行頻度を設定できます。

Deleting the Alerts

Studio

ユーザーがシステムで実行可能な全"“delete all alerts”"を希望する場合は、全"“delete all alerts”"スクリプトの実行により可能です。

Deleting the Logs

Studio

システムで実行可能な全“delete all alerts”を希望する場合は、全“delete all alerts”スクリプト実行により可能です。

Alerts

" Alerts"ページ上でDeCYFIRから受信した全アラートを確認することができます。各" Alerts"には個別のアラート、インシデント、UIDがあります。アラートごとに新規インシデントが作成されます。

Navigating to Alert page

ホームページ内の検索ボックスに"Decyfir alerts"と入力すると検索結果が表示されます。

"Decyfir alerts"をクリックすると、"Decyfir alerts"ページが開きます。

"Alerts"番号をクリックすると、フィールドと値を確認できる詳細ページを開くことができます。同様に、全アラートについて固有のインシデントが生成されます。

Logs

全システムアクティビティはログに記録されます。

Navigating to Log page

ホームページの検索ボックスに"Decyfir Logs"と入力すると検索結果が表示されます。

"DecyfirLogs"をクリックすると"Decyfir Logs"ページが開きます。

"Category"をクリックすると、詳細ページが開き、ユーザーはログの種類、ステータスコード、リクエストURL、レスポンスの本文を確認できます。

Incidents

アラートごとにユニークインシデントIDが生成されます。

Accessing the incident

インシデントIDをクリックし、全アラートに関連付けられたインシデントを確認することができます。こうしてユーザーはインシデントページに移動することができます。

インシデントページに移動すると、ユーザーはimpact、urgency、Descriptionなどの詳細情報を確認できます。

作業メモで全アラートフィールドとそれに関連する値を表示できます。

関連リンクでは、関連付けられているアラートを見ることができます。

Dashboard

全カテゴリアラートとカウント、上位5件のイベントを確認できます。

Navigating to the dashboard page

検索ボックスに"Dashboard"と入力すると、検索結果を確認できます。緑色の"Dashboard"をクリックします。

以下のページに移動後"DeCYFIR Alert"をクリックします。

全カテゴリとカウントが表示される以下ページが表示されます。

同様に、スクロール・ダウンすると"トップ5"アラートを見ることができます。

さまざまな時間条件により検索できるオプションがあります。