はじめに
Recorded Future の総合的な洞察は新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。集合的な洞察により、すべてのクライアント統合にわたる監視を集約して、すべての監視にわたる傾向を表示できるため、TI およびSecOpsユーザーは、ネットワーク全体でどの監視とTTPs最も一般的であるかに基づいて、優先順位を付けてクライアント ネットワークをより適切に防止および保護することができます。 この記事では、 Recorded FutureのCollective Insights APIを使用してSentinelOneのCollective Insightsを設定する方法について説明します。
Recorded Future は、SentinelOne 用の Collective Insights を設定するためのプッシュ サービス構成オプションも提供しています。この構成は Recorded Future によって維持され、クライアントがスクリプトを維持する必要はありません。手順については、Recorded Future Collective Insights for SentinelOne [Push] の記事を確認してください。
SentinelOneでCollective Insightsを設定する
この記事には、SentinelOne 検知 をRecorded Futureの集合的洞察データ モデルにマッピングするスクリプト (S1-Collective_Insights.py) が添付されています。 このスクリプトは、SentinelOne から各 IOC の JSON オブジェクトを構築するための API リクエストを作成し、Recorded Future Collective Insights API に送信する裏付けとなる証拠を作成します。JSON アップロードの一部として、各 IOC で MITRE ATT&CK コードが使用可能かどうかを確認します。このスクリプトを実行するには次のものが必要です。
- 有効な Recorded Future 集合的洞察 API キー (リクエストするにはsupport@recordedfuture.comにメールしてください)
- SentinelOne APIキー
- SentinelOneエンドポイントURL
- スクリプトを更新して、S1 APIエンドポイントURLとS1 APIトークンを設定します。
- Recorded Future APIトークンをスクリプトに追加する
- スクリプトはクライアントによってホストされます。集合的インサイトを使用した分析を最大限に活用するには、少なくとも 1 時間に 1 回スクリプトを実行して、最新のイベントを SentinelOne から Recorded Future 集合的インサイト API に取得するように cron ジョブを設定することをお勧めします。
-
- デフォルトでは、スクリプトは過去 1 日間の検知 を収集します。 これをより頻繁に実行する場合は、実行間隔を表すようにこの行を変更します。たとえば、1時間ごとに実行する場合は、(days=1)を(hours=1)に変更します。
結果
スクリプトを少なくとも 1 回実行すると、 SecOps ダッシュボードの Recorded Future UI で集合的な分析情報の結果を表示できるようになります。UI のSecOpsダッシュボード パネルには、検知トレンドと検知アクティビティ (MITRE ATT&CK ヒートマップ) が表示されます。
検知トレンドと検知アクティビティのパネルをクリックして、どの検知が各分析を推進しているかを確認し、SentinelOne からのすべての検知に共通する属性についての洞察を取得します。
関連記事