Recorded Future Intelligence Cloud 機能は、Recorded Future Intelligence for XSOAR v2.4 以降を実行しているクライアントでのみ利用可能です。
Collective Insights は、Recorded Future for XSOAR 統合のインスタンスを設定するときに有効にできます。XSOAR 統合の Recorded Future を設定する際は、設定を「オン」にする必要があります。プレイブック内の Recorded Future コマンドを使用して強化された IOC はすべて、クライアントの Collective Insights の一部となり、SecOps ダッシュボードに入力するために使用されます。
XSOARでCollective Insightsを設定する
XSOAR は、 Collective InsightsをネイティブにサポートするRecorded Futureのプレミア統合の 1 つであり、これは、デフォルトでオンになっているRecorded Future v2 インスタンスの設定ページにあるフラグによって制御されます。
Collective InsightsのためのXSOARデータマッピングのRecorded Future
Collective Insights の一部として、手動で実行されたか、インシデント タイプに対して実行するように自動構成されたプレイブックの XSOAR エンリッチメントに基づいて匿名化されたデータが収集されます (これは、プロパティでインシデント タイプをデフォルトのプレイブックにマッピングして自動的に実行するように構成できます)。
- インシデント ID: インシデントの一意の ID
- インシデントの種類: インシデントの種類
- インシデント名: インシデント名
- プレイブック名: プレイブックの名前
- インスタンスID: 統合インスタンスのID
- コマンド: 使用されたコマンド
- 指標名: 指標の名前
- インジケーターの種類: インジケーターの種類
- 再発:プレイブックの再発
- スケジュール: プレイブックのスケジュール
Collective Insights の利点の詳細については、「 Collective Insights の使用開始」を参照してください。
Collective Insights をサポートする XSOAR コマンド
Collective Insights が有効になると、Recorded Future エンリッチメント コマンドまたはインテリジェンス コマンドを使用してエンリッチされたすべての観測可能データが Collective Insights に表示されます。これらのコマンドでは、グローバル設定を上書きするために、コマンドごとに collective_insights フラグを指定することもできます。
Collective Insights にデータを直接送信するための追加の「recordedfuture-collective-insight」コマンドもあります。これは、必ずしもインシデントが発生していない場合に役立ちます。たとえば、ファイアウォールからブロックされたログをCollective Insightsに送信したり、データ レイクからログを送信してSecOpsで 検知 を作成したりすることができます。