概要
Anomali ThreatStream の Recorded Future アナリストノートにより、次のことが可能になります。
- Recorded Futureアナリストノートの詳細をAnomali TSフィード経由で脅威モデルとしてAnomali TSに配信
- 重要な検知ルール(Yara/Sigma/Snort)をAnalyst Notesで配信
- 完全なコンテキストと観察可能な抽出によるレポートのトリアージの容易さ
この統合は、Anomali ThreatStream 統合用のRecorded Futureアナリスト ノートを購入したRecorded Future SecOpsおよびThreat Intelligenceユーザーが利用できます。
アプリケーションの機能
Recorded Futureアナリスト ノート アプリケーションの機能は、Anomali TS がRecorded Futureデータを取得するリポジトリであるRecorded Future API によって支えられています。 統合によりアナリストのメモの詳細が取得され、Anomali TS に送信されます。これにより、アナリスト ノートのコンテキストが Anomali TS 内でトリアージされる準備が整います。
アナリストノートトピック
以下の表は、統合によってサポートされるアナリストノートのトピックと、Anomali Threatstream に取り込まれた後のそれぞれのThreatモデルの種類を示しています。
| アナリストノートトピック | Anomali Threatstream Threatモデル |
| 俳優プロフィール | 俳優 |
| サイバーThreat分析 | Threat速報 |
| エグゼクティブインサイト | Threat速報 |
| フラッシュレポート | Threat速報 |
| ハンティングパッケージ | シグネチャおよびThreat速報レポート |
| インジケータ | Threat速報 |
| 情報提供 | 脆弱性 |
| マルウェアツールプロファイル | マルウェア |
| 情報源プロフィール | Threat速報 |
| Ransomware攻撃者のプロフィール | 俳優 |
| Ransomwareツールのプロファイル | マルウェア |
| 脅威リード | Threat速報 |
| TTPインスタンス | Threat速報 |
| 検証済みインテリジェンスイベント | インシデント |
アナリストノートの詳細
取り込まれたアナリストノートには次の内容が含まれます。
- メモのタイトル
- 特定のメモへのRecorded Futureポータルへのリンク
- ソース
- トピック
- 検証 URL(利用可能な場合)
- 記載されているツールまたはアクターに関連する攻撃ベクトル(存在する場合)
- メモで使用または言及されている脆弱性とその説明(可能な場合)
- 添付ファイルタブのメモ添付ファイルの全内容(利用可能な場合)
- マルウェア ツール プロファイル (マルウェアThreatモデル)
- マルウェアの種類と実行プラットフォームのフィールドは、利用可能な場合は含まれます。マルウェア ファミリ フィールドは常に「マルウェア インスタンス」に設定されます。
- 観測可能オブジェクト(詳細については、観測可能オブジェクトのセクションを参照してください)
観測可能なもの
一部のメモには、ドメイン、ハッシュ、IP アドレス、または URL が含まれる場合があります。これによりRecorded Future Risk Score (利用可能な場合) とともに観測可能なものが作成されます。 非常に悪意のある IOC と悪意のある IOC のみが観測可能として追加されます。IType は、IOC に関連付けられた最も重要なRecorded Futureリスク ルールに基づいて異なります。
インストール
推奨されるインストール方法は、Anomali TS App Store 経由です。
設定
アプリケーションをインストールしたら、Recorded Future トークンを設定し、「アクティブ化」をクリックしてください。