XSOAR + Attack Surface Intelligence統合

Cortex XSOAR は、セキュリティ オーケストレーション、自動化、レスポンス (SOAR) プラットフォームのトップクラスの 1 つであり、セキュリティ チームが管理、自動化、共同作業を行ってThreat Intelligenceを活用し、セキュリティ チームがセキュリティ管理を改善できるようにする貴重なツールです。

ASI ライセンスに含まれる統合の詳細については、「 ASI 統合のOverview参照してください。

この統合を使用するとセキュリティ チームには次のようなメリットがあります。

• 組織内の最も重要なリスクを視覚化する
• 重要なシステムにおけるセキュリティポリシーの適用の自動化
• インシデント応答時間を改善する
• M&Aリスクを常に把握する
• セキュリティインシデントの全体像を把握する
• 攻撃対象領域を効果的に削減

どのように機能しますか?

インストールとこの統合の使用方法を見てみましょう。

インストール

• Cortex XSOAR管理インターフェースにログインします
• 左側のメニューでマーケットプレイスへ移動します
• 「Recorded Future」を検索すると、「Recorded Future Attack Surface Intelligence」または「Recorded Future ASI」が表示されるので、クリックします。

• 右上にある「インストール」をクリックします。

使用法

Recorded Future Attack Surface Intelligence Cortex XSOAR との統合は、Cortex XSOAR インターフェース内で現在のAttack Surface Intelligenceプロジェクトをリンクすることによって機能します。

Cortex XSOAR 環境内でこれを設定するには:

1. 設定 -> 統合 -> インスタンスに移動します

2. 検索Recorded Future Attack Surface Intelligenceパックして選択インスタンスの追加:

3. インスタンスの名前を選択します（Attack Surface Intelligence プロジェクトのタイトルを含むものを選択すると便利です）
   
   

4. 設定を入力してください:

   • プロジェクトIDを入力してください
   • 上記のプロジェクトIDにアクセスできるAPIキーを入力してください
   
   

    

5. インシデントを取得するようにパックを構成し、オプションのマッピングとインシデント タイプをセットアップします。

6. Attack Surface Intelligenceプロジェクトがスナップショットを取得する頻度に合わせてフェッチ間隔を設定します (推奨される XSOAR パックの頻度は 1 日です)

7. テストボタンをクリックして、APIキーとプロジェクトIDが正しく設定されていることを確認します。

8. 「保存して終了」をクリック
   
   
9. SurfaceBrowser ™に表示されるルールごとに、インシデントが XSOAR インスタンスにすぐに入力されます。

10. 新しいパックインスタンスの横にあるフェッチ履歴アイコンをクリックすると、パックが実行されるたびに詳細が表示されます。

結果の分析

プロジェクトが Cortex XSOAR プラットフォームで稼働している状態で、何が見つかるかを見てみましょう。

左側のメニューでインシデントのリンクをクリックすると、過去 X 日間 (7 日間、30 日間など) に見つかった現在のインシデントがすべて表示されるページが表示されます。

このインターフェースでは、重大度 (重大、中、低) 別にフィルタリングされたインシデントのほか、インシデントの完全なリスト、ID、名前、タイプ、ステータス、所有者などの詳細が表示されます。

このページを使用すると、上記のスクリーンショットに示すように、最も重要な問題をすばやく特定し、すぐに対処することができます。ID をクリックすると、調査したい特定のインシデントに移動し、指標、タイムライン情報、調査データなど、利用可能なすべての詳細をレポートします。

概要

Recorded Future の Attack Surface Intelligence と Cortex XSOAR の統合により、セキュリティ チームは Attack Surface Intelligence リスク ルールから適切なインシデント情報に簡単にアクセスできるようになるため、作業が楽になります。