適用対象: WatchGuard Advanced EPDR
IOC ギャラリーでは IOC をインポートする と IOC をエクスポートする が可能です。
IOC をインポートする
互換性のあるインポート ファイルは STIX、YARA またはカンマ区切り値形式です。進行中の検索タスクの一部である別の IOC と同じ ID を持つ IOC をインポートすることはできません。ID は STIX ファイルで入手できます。STIX ファイルを確認する方法については、元の STIX ファイルを表示する を参照してください。
IOC をインポートするには、以下の手順を実行します:
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- IOC ギャラリー を選択します。
- ページの右上隅で
をクリックします。
インポート ダイアログ ボックスが開きます。 - ファイルの選択 をクリックします。
- ファイルを選択する。
互換性のあるファイルは STIX、YARA またはカンマ区切り値形式です。 - インポート をクリックします。
- インポート ファイルに IOC が既に存在する場合は、以下の選択をします:
- 置き換える — 既存の IOC を新しい IOC に置き換えます。
- 無視する— 新しい IOC を無視し、既存の IOC を保持します。
IOC をインポートする際には、検索タスクが IOC を使用できるようになる前に、検索ステートメントを確認し、承認する必要があります。承認が必要な IOC は STIX (承認待ち) として表示されます。詳細については、IOC を管理する を参照してください。
IOC リストのアイテムをフィルタリングするには、IOC ギャラリー の検索バーを使用します。IOC の名前または説明を入力すると、検索条件を満たすリストの項目のみが表示されます。
IOC をエクスポートする
IOC ギャラリーから 1 つか複数の IOC を JSON ファイルにエクスポートすることができます。
単一の IOC をエクスポートするには、以下の手順を実行します:
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- IOC ギャラリー を選択します。
- エクスポートする IOC の行で
をクリックし、エクスポート を選択します。
IOC の定義を含む JSON ファイルがコンピュータにダウンロードされます。
複数の IOC をエクスポートするには、以下の手順を実行します:
- WatchGuard Cloud で、構成 > Endpoint の順に選択します。
- 設定 を選択します。
- IOC ギャラリー を選択します。
- エクスポートする各 IOC のチェックボックスをオンにします。
- ツール バーで、
エクスポート をクリックします。
IOC の定義を含む JSON ファイルがコンピュータにダウンロードされます。