概要
Recorded Future は、エンタープライズ セキュリティに関する情報を提供する世界最大のプロバイダーです。Recorded Future は、永続的かつ広範囲にわたる自動データ収集と分析を人間による分析と組み合わせることで、タイムリーで正確かつ実用的なインテリジェンスを提供します。
Recorded Future Microsoft Sentinel 統合により、Recorded Future のインテリジェンスを統合して Sentinel が強化されます。
メリット
- 環境内の情報漏洩/侵入 (IOC) の危険な指標を検出します。
- エリートのリアルタイム情報により、アラートをより迅速にトリアージします。
- 内部テレメトリデータに関する透明性とコンテキストを備え、迅速に対応します。
- Microsoft Sentinel への投資を最大限に活用しましょう。
ユースケース
Recorded Futureソリューションで提供される Playbook は、警戒とインシデント対応のためのユースケースをサポートしています。 完全なユースケースを自動化するには、プレイブックのインストール、分析ルールの作成、自動化ルールの構成が必要になります。
検知 - リスクリスト
TI-Processor は、Recorded Future から構成されたリスク リストを取得し、そこに含まれるインジケーターを RecordedFuture-ImportToSentinel プレイブックを介して一括で Sentinels ThreatIntelligenceIndicator テーブルに書き込みます。 
分析ルールはThreat Intelligenceインジケーターを Sentinel に提供されたログと相関させ、見つかった一致に対してインシデントを作成します。 
レスポンス - エンリッチメント
自動化ルールは各インシデントでトリガーされ、 Recorded Futureインテリジェンスでインシデントを強化します。 
プレイブック
以下のプレイブックは Recorded Future によって提供されています。
RecordedFuture-ImportToSentinel
タイプ: 検知 | Recorded Future Intelligenceソリューションに含まれる: はい
このプレイブックは、 Threat Intelligenceインジケーターを ThreatIntelligenceIndicator テーブルに一括インポートするすべての TIProcessor プレイブックを提供します。
RecordedFuture-IP-Actively_Comm_C2_Server-TIProcessor
タイプ: 検知 | Recorded Future Intelligenceソリューションに含まれる: はい
このプレイブックはRecorded Future APIを活用して、 Recorded Futureの取り込みを自動化します。 アクティブに通信しているC&CサーバーIPリスクリスト ( Recorded Futureログインが必要) を、Microsoft Sentinel の警戒 (アラート) アクション用に ThreatIntelligenceIndicator テーブルに追加します。 詳細については、 Recorded Future 。
RecordedFuture-DOMAIN-C2_DNS_Name-TIProcessor
タイプ: 検知 | Recorded Future Intelligenceソリューションに含まれる: はい
このプレイブックはRecorded Future APIを活用して、 Recorded Futureの取り込みを自動化します。 C&C DNS名ドメインリスクリスト ( Recorded Futureログインが必要) を、Microsoft Sentinel の警戒 (アラート) アクション用に ThreatIntelligenceIndicator テーブルに追加します。 詳細については、 Recorded Future 。
RecordedFuture-URL-Recent_Rep_by_Insikt-TIProcessor
タイプ: 検知 | Recorded Future Intelligenceソリューションに含まれる: はい
このプレイブックはRecorded Future APIを活用して、 Recorded Futureの取り込みを自動化します。 Insikt Groupによる最近の報告URL RiskList ( Recorded Futureログインが必要) を、Microsoft Sentinel の警戒 (アラート) アクション用に ThreatIntelligenceIndicator テーブルに追加します。 詳細については、 Recorded Future 。
RecordedFuture-HASH-Obs_in_Underground-TIProcessor
タイプ: 検知 | Recorded Future Intelligenceソリューションに含まれる: はい
このプレイブックはRecorded Future APIを活用して、 Recorded Futureの取り込みを自動化します。 地下ウイルステストサイトで観察されたハッシュリスクリスト ( Recorded Futureログインが必要) を、Microsoft Sentinel の警戒 (アラート) アクション用に ThreatIntelligenceIndicator テーブルに追加します。 詳細については、 Recorded Future 。
RecordedFuture-ウクライナ-IndicatorProcessor
タイプ: 検知 | Recorded Future Intelligenceソリューションに含まれる: はい
このプレイブックはRecorded Future APIを活用して、 Recorded Futureの取り込みを自動化します。 ウクライナのThreat関連IOCリスト ( Recorded Futureログインが必要) を、Microsoft Sentinel の警戒 (アラート) アクション用に ThreatIntelligenceIndicator テーブルに追加します。 詳細については、 Recorded Future 。
RecordedFuture-Sandbox_Enrichment-Url
タイプ: 応答 | Recorded Future Intelligence ソリューションに含まれる: はい
Recorded Future Sandbox Playbook を使用すると、セキュリティ チームと IT チームは URL を分析および理解できるため、安全で即時の動作分析が可能になり、調査における主要なアーティファクトのコンテキスト化が容易になり、トリアージが迅速化されます。このプレイブックを通じて、組織はマルウェア分析サンドボックスをアプリケーションを使用した自動化されたワークフローに組み込むことができます。インシデントは、次のRecorded Futureコンテキストで強化されます: サンドボックス解析スコア、署名、完全なRecorded Futureサンドボックス レポートへのリンク。 サンドボックスのエンリッチメントは、Microsoft Sentinel インシデントにコメントとして投稿されます。詳細については、 Recorded Futureサンドボックス。
自動エンリッチメントは、ここで説明されているように、分析ルールを介してアラートにマッピングされた URL タイプの既知のエンティティに対して機能します。 脅威を検出するためのカスタム分析ルールを作成します。自動エンリッチメントの設定方法については、次のセクションで説明します。
RecordedFuture-Sandbox_Outlook_添付ファイル
タイプ: 応答 | Recorded Futureインテリジェンス ソリューションに含まれる: いいえ
このプレイブックはプレビュー段階であり、Recorded Future Sentinel ソリューションの一部ではありません。これは、サンドボックス プレイブックの構築方法の例として提供されています。
Recorded Future サンドボックス プレイブックを使用すると、セキュリティ チームと IT チームは Outlook の添付ファイルを分析および理解できるため、安全で即時の動作分析が可能になり、調査における主要なアーティファクトのコンテキスト化が容易になり、トリアージが迅速化されます。このプレイブックを通じて、組織はマルウェア分析サンドボックスを Outlook を使用した自動化されたワークフローに組み込むことができます。添付ファイルには、サンドボックス解析スコア、署名、および完全なRecorded Futureサンドボックス レポートへのリンクというRecorded Futureコンテキストが追加されます。 サンドボックス エンリッチメントは、元のメールボックスと Microsoft Sentinel インシデントへの返信として送信されます。Recorded Futureサンドボックスの詳細については、以下をご覧ください。 Recorded Futureサンドボックス。
自動エンリッチメントは、ここで説明されているように、分析ルールを介してアラートにマッピングされた URL タイプの既知のエンティティに対して機能します。 脅威を検出するためのカスタム分析ルールを作成します。自動エンリッチメントの設定方法については、次のセクションで説明します。
RecordedFuture-Sandbox_StorageAccount
タイプ: 応答 | Recorded Futureインテリジェンス ソリューションに含まれる: いいえ
このプレイブックはプレビュー状態であり、Recorded Future Sentinel ソリューションの一部ではありません。これは、サンドボックス プレイブックの構築方法の例として提供されています。
Recorded Future Sandbox プレイブックを使用すると、セキュリティ チームと IT チームは、ストレージ アカウントから Recorded Future Sandbox にファイルをアップロードして実行できます。Recorded Future Sandbox は、安全で即時の動作分析を提供し、調査における主要なアーティファクトのコンテキスト化を支援して、トリアージを迅速化します。このプレイブックを通じて、組織はストレージ アカウントを使用してマルウェア分析サンドボックスを自動化されたワークフローに組み込むことができます。ファイルは、次のRecorded Futureコンテキストで強化されます: サンドボックス解析スコア、署名、完全なRecorded Futureサンドボックス レポートへのリンク。 サンドボックス エンリッチメントにより、Microsoft Sentinel インシデントが作成されます。Recorded Futureサンドボックスの詳細については、以下をご覧ください。 Recorded Futureサンドボックス。
自動エンリッチメントは、ここで説明されているように、分析ルールを介してアラートにマッピングされた URL タイプの既知のエンティティに対して機能します。 脅威を検出するためのカスタム分析ルールを作成します。自動エンリッチメントの設定方法については、次のセクションで説明します。
RecordedFuture-IOC_Enrichment-IP_Domain_URL_Hash
タイプ: 応答
このプレイブックは、Recorded Future API を活用して、インシデントで見つかった IP、ドメイン、URL、ハッシュのインジケーターを自動的に強化します。インシデントは、次のRecorded Futureコンテキストで強化されます: リスク スコア、リスク ルール、研究リンク、技術リンク、以前の検知、およびRecorded Future Intelligence Cardへのリンク。 エンリッチメントは、Microsoft Sentinel インシデントにコメントとして投稿されます。詳細については、 Recorded Future 。
自動エンリッチメントは、ここで説明されているように、分析ルールを介してアラートにマッピングされた既知のエンティティタイプ(IP、ドメイン、URL、またはファイルハッシュ)に対して機能します。 脅威を検出するためのカスタム分析ルールを作成します。自動エンリッチメントの設定方法については、次のセクションで説明します。
MS SentinelのRecorded Futureに関するCollective Insights
Recorded Future Intelligence Cloud は、シグマ ルールやその他の指標に関連するデータを集約し、集合的な洞察を引き出し、脅威をより適切に特定できるようにします。匿名化された帰属不可能なデータは、分析目的で収集され、Intelligence Cloud で傾向や分析情報を特定するために使われます。その RecordedFuture-IOC_Enrichment-IP_Domain_URL_Hash プレイブックにより、エンドユーザーはIntelligence Cloudに集合的な洞察を提供できるようになります。 詳細はClick Here ( Recorded Future必要)
