MS Sentinel のRecorded Futureに関するCollective Insights

更新

Recorded Future Intelligence Cloud 機能は、Recorded Future for MS Sentinel v2.2 以降を実行しているクライアントでのみ利用可能です。

MS Sentinel の Recorded Future が更新され、IOC エンリッチメントを実行するときに履歴相関が表示されるようになりました。クライアントは、以前に IOC の検知 を受けたことがあるかどうかを確認できます。 以前の検知が存在する場合、「インフラストラクチャ検知」テーブルにデータが入力されます。 相関のタイムスタンプ、相関が確認された統合 (クライアントがRecorded Futureで複数の統合を実行している場合)、および Azure instance_id が表示されます。 これにより、アナリストは調査を進める際にゼロから始めるのではなく、環境に関連する IOC の履歴コンテキストを得ることができます。これにより、複数の統合で発生している相関関係も 1 つのビューにまとめられます。履歴データ ポイントを使用すると、SIEM アラートに優先順位を付けるのに役立ち、相関履歴を確認するために複数のプラットフォーム間を移動する必要がなく、調査を迅速化するのに役立ちます。 この機能を有効にするには、Sentinel 内で Recorded Future エンリッチメント プレイブックを設定します。エンリッチメントを設定するための手順 プレイブックは、Sentinel の Recorded Future gitrepo にあります。

MS SentinelでCollective Insightsを設定する

MS Sentinel は、Collective Insights をネイティブにサポートする Recorded Future のプレミア統合の 1 つです。この機能を有効にするには、Sentinel内でRecorded Futureエンリッチメントプレイブックを設定してください。エンリッチメントプレイブックの設定手順は、Recorded Future for Sentinelのgitrepoに記載されています。エンリッチメントプレイブックを設定すると、Recorded Futureデータで作成およびエンリッチメントされたすべてのインシデントがCollective Insightsに含まれるようになります。SentinelからCollective Insightsに使用されるデータポイントは以下のとおりです。

  • IOCタイプ
  • IOCの価値
  • インシデントID番号
  • インシデントIDカテゴリー

MS Sentinel のエンリッチメント プレイブックでは、Collective Insights がデフォルトでオンになっていることに注意してください。Collective Insights をオプトアウトし、エンリッチメント プレイブック内のパラメータ「Intelligence Cloud」を「false」に設定することで、MS Sentinel 内のエンリッチメント プレイブックを引き続き使用することも可能です。

Collective Insightsのメリット

セキュリティ ツールからのクライアント検知はCollective Insightsで分析され、 Recorded Futureインテリジェンスと組み合わせることで、異種のデータ ポイント間の点と点を結び付け、アナリストがパターンと傾向を特定して、より効果的な対応に導くのに役立ちます。

MS Sentinel の Recorded Future が更新され、IOC エンリッチメントを実行するときに履歴相関が表示されるようになりました。クライアントは、以前に IOC の検知 を受けたことがあるかどうかを確認できます。 以前の検知が存在する場合、「インフラストラクチャ検知」テーブルにデータが入力されます。 相関のタイムスタンプ、相関が確認された統合 (クライアントがRecorded Futureで複数の統合を実行している場合)、および Azure instance_id が表示されます。 これにより、アナリストは調査を進める際にゼロから始めるのではなく、環境に関連する IOC の履歴コンテキストを得ることができます。これにより、複数の統合で発生している相関関係も 1 つのビューにまとめられます。履歴データ ポイントを使用すると、SIEM アラートに優先順位を付けるのに役立ち、相関履歴を確認するために複数のプラットフォーム間を移動する必要がなく、調査を迅速化するのに役立ちます。

 

MS Sentinel からのセキュリティ イベントを Sentinel の Collective Insights に取り込むには、手順に従って Recorded Future Enrichment Playbook を設定します。手順はMS Sentinel GitRepoのRecorded Futureに記載れています。

 

Collective Insights の利点の詳細については、「 Collective Insights を使い始める」を参照してください。

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
3人中2人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る