Splunk の Recorded Future 向け Collective Insights

更新

Recorded Future Intelligence Cloud 機能は、Recorded Future for Splunk v2.1 以降を実行しているクライアントでのみご利用いただけます。

Splunk エンリッチメント ダッシュボードの Recorded Future が有効になり、履歴相関イベントを表示できるようになりました。エンリッチメント ダッシュボードにピボットするか、エンリッチメント ダッシュボードで IOC をアドホックに検索すると、新しいパネルが利用可能になります。このパネルには、その IOC のすべての履歴相関が、タイムスタンプと関連する「ユースケース」( Recorded Futureリスクリスト名)とともに表示されます。 これにより、アナリストは、調査を行うときにゼロから始めるのではなく、環境に関連する IOC の歴史的コンテキストが得られ、SIEM アラートを優先順位を付けるのに役立つ別のデータ ポイントが得られます。 IOC が関連付けられたユースケースは、歴史的に何かが引き起こされた「なぜ」という問いに答えるのに役立ちます。


mceclip0.png


SplunkのRecorded FutureでCollective Insightsを設定する

Collective Insights 機能は、Recorded Future for Splunk アプリにネイティブに組み込まれています。クライアントはRecorded Future for Splunk v2.1.1以降を実行している必要があります。Collective Insight 機能を使用するには、バージョン 1.0 以上が必要です。Collective Insight の設定は、Recorded Future for Splunk アプリ内の「構成」メニューで、「Collective Insights」メニュー オプションに移動すると見つかります。

Recorded Future for Splunk v2.1+ をインストールすると、Collective Insights はデフォルトで「オン」に設定されます。

  • Splunk v2.1.1 の Recorded Future で。集合的な洞察のための単一の設定があります。「 Recorded Future for Splunk」設定をオンにすると、 Recorded Futureリスク リストからRecorded Future for Splunk アプリで作成されたすべての検知 が含まれるようになります。 (エンタープライズおよびES)
  • Recorded Future for Splunk v2.2+ には、集合的な洞察のための 2 番目の設定があります。「Splunk のRecorded Future 」設定をオンにすると、 Recorded Future脅威リストを使用して Splunk Enterprise および Splunk ES 内で作成されたすべての 検知 が含まれるようになります。 「Splunk Enterprise Security」設定には、Collective Insights の Splunk Threat Intelligence Framework (TIM) で行われたすべての一致が含まれます。これには、サードパーティの情報ソースからCollective Insightsに行われた一致が含まれます。 注意: 「Splunk Enterprise Security」設定を使用するには、「Splunk のRecorded Future 」を「オン」に設定する必要があります。集合的な洞察には 2 つのオプションがあります (以下を参照)。デフォルトでは両方ともオンになっています。最初のオプションでは、Recorded Future リスク リストによって検出されたすべてのセキュリティ イベントが、Collective Insights (Splunk Enterprise および Splunk ES) に書き戻されます。2 番目のオプションでは、 Threat Intelligenceフィードが検知を作成したかどうかに関係なく、すべてのセキュリティ イベントが書き戻されます。 具体的には、Splunk ES で注目すべきイベントを作成し、それを Collective Insights に書き戻す必要があります (Splunk ES のみ)

 

Collective Insights向けSplunkデータマッピングのRecorded Future

Collective Insights 、Splunk および Splunk ES で作成された 検知 によって強化されています。 Recorded Future for Splunk アプリの一部は、検知 からの特定のデータ ポイントをCollective Insightsデータ モデルにマッピングし、 Recorded Futureと Splunk 内の特定の機能を入力します (上記参照)。 次のデータ ポイントは、Splunk 検知 から集合的な洞察データ モデルにマッピングされます。

    • エンティティ- 脅威リストに一致したIOC
    • 説明- 相関検索の名前(ユースケース)
    • マルウェア- マルウェアファミリーがある場合
    • MITRE コード- Recorded Future は、MITRE コードをリスク ルールにマッピングします。MITREコードはIOCのアクティブリスクルールに適用される。
    • イベント情報源- 侵害が行われたログ情報源
      • 注意: イベント情報ソースとしてデータ モデル (DM) 相関関係を使用している場合、現時点ではこの列にデータを入力することはできません。

Collective Insights の利点の詳細については、 「 Collective Insights を使い始める 」を参照してください。

 

よくある質問

1. Collective Insights がオンになっているかどうかを確認するにはどうすればよいですか?

「構成」メニューの Splunk アプリの Recorded Future には、「Collective Insights」の設定があります。設定が「オン」になっていることを確認してください。

  • Splunk v2.1.1 の Recorded Future で。集合的な洞察のための単一の設定があります。「 Recorded Future for Splunk」設定をオンにすると、 Recorded Futureリスク リストからRecorded Future for Splunk アプリで作成されたすべての検知 が含まれるようになります。 (エンタープライズおよびES)
  • Recorded Future for Splunk v2.2+ には、集合的な洞察のための 2 番目の設定があります。「Splunk のRecorded Future 」設定をオンにすると、 Recorded Future脅威リストを使用して Splunk Enterprise および Splunk ES 内で作成されたすべての 検知 が含まれるようになります。 「Splunk Enterprise Security」設定には、Collective Insights の Splunk Threat Intelligence Framework (TIM) で行われたすべての一致が含まれます。これには、サードパーティの情報ソースからCollective Insightsに行われた一致が含まれます。 注意: 「Splunk Enterprise Security」設定を使用するには、「Splunk のRecorded Future 」を「オン」に設定する必要があります。 集合的な洞察には 2 つのオプションがあります (以下を参照)。デフォルトでは両方ともオンになっています。最初のオプションでは、Recorded Future リスク リストによって検出されたすべてのセキュリティ イベントが、Collective Insights (Splunk Enterprise および Splunk ES) に書き戻されます。2 番目のオプションでは、 Threat Intelligenceフィードが検知を作成したかどうかに関係なく、すべてのセキュリティ イベントが書き戻されます。 具体的には、Splunk ES で注目すべきイベントを作成し、それを Collective Insights に書き戻す必要があります (Splunk ES のみ)

2. SecOps ダッシュボードに Splunk からのセキュリティ イベントが表示されません。

Splunk Enterprise の Recorded Future を実行しているクライアントの場合、Splunk Enterprise アプリ内に少なくとも 1 つの相関検索を設定する必要があります。Splunk ES のRecorded Futureを使用するクライアントの場合、 Threat Intelligenceプロバイダーを使用して少なくとも 1 つの相関検索を設定する必要があります。 Splunk ES のお客様は、Recorded Future のリスク リストであっても他のベンダーのものであっても、セキュリティ イベントを Collective Insights に取り込むことができます。Splunk ES で作成された重要なイベントはすべて、Recorded Future Collective Insights に書き戻されます。

 

3. Splunk ES の Recorded Future 内に重要なイベントが作成されていますが、SecOps ダッシュボードにはまだ何も表示されません。

Splunk ES の Recorded Future には、どの脅威フィードから作成されたかに関係なく、すべての重要なイベントを Collective Insights に取り込む設定があります。例えばSplunk ES で ISAC 脅威フィードを使用して重要なイベントを作成する場合、それらのイベントは Collective Insights に取り込まれ、Recorded Future インテリジェンス (マルウェア、脅威アクター、MITRE T コード) で強化されます。Recorded Future 、マルウェア、妄想アクター、および MITRE コードを、サードパーティの情報源によって作成された注目すべきイベントに関連付けることができない可能性があります。 これらの関連付けは、SecOps ダッシュボードの分析ビューに情報を入力するためには必要です。検知エクスプローラーをチェックして、サードパーティの注目イベントがCollective Insightsに反映されているかどうかを確認します。 また、Recorded Future のリスク リストを使用して Splunk ES 相関検索を設定し、Collective Insights が Splunk ES から Recorded Future ポータルに届いていることを確認してください。

 

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る