はじめに
Recorded Future Collective Insightsは、クライアントが共有するためのメカニズムです。 オンプレミスおよびクラウドベースのインフラストラクチャからRecorded Futureにフィードバックされます。 これにより、ダッシュボードなどに表示される分析を通じて、全体的なセキュリティと脅威認識が向上します。 ダッシュボード。
Oktaは、一般的で強力なIDアクセス管理ツールとして、不正なシステムアクセスからの保護を確保するために、多くのクライアントから信頼を得ています。この記事では、Recorded Future Collective Insights APIを使用してOktaの集合的インサイトを設定する方法について説明します。
OktaでCollective Insightsを設定する
この記事には、Okta 検知 をRecorded Futureの集合的洞察データ モデルにマッピングするスクリプト (「okta_collective_insights_keyless[public].py」) が添付されています。 このスクリプトを実行するには次のものが必要です。
- 有効なRecorded Future Collective Insights APIキー(リクエストするにはsupport@recordedfuture.comまでメールでご連絡ください)
- Okta APIキー
- OktaエンドポイントURL
- Okta APIのURLとAPIキーを設定するようにスクリプトを更新します。
- Recorded Future APIトークンをスクリプトに追加してください。
- 「previous_date」フィールドを、スクリプトを実行する予定の頻度に合わせて更新してください。例えば、スクリプトを1日に1回実行する予定であれば、previous_dateは1日前に設定する必要があります。
より頻繁な更新(例えば1時間ごと)が必要な場合は、「days=1」を「hours=1」に変更してください。
- スクリプトをテスト実行します。デフォルト構成では、スクリプトは Okta インスタンスへのライブ API 呼び出しを行い、Recorded Future に送信するデータを収集してフォーマットし、Collective Insights API に送信された API パッケージを検証します。ただし、最初は Collective Insights データベースに書き込まれません。Collective Insights データベースへのデータの送信を開始するには、Collective Insights API の「デバッグ」フラグを false に設定する必要があります。コードを変更する必要があるのは次の部分です。
- スクリプトをスケジュールに基づいて自動的に実行するように設定します。Okta をRecorded Future Collective Insightsデータベースに自動的に送信するには、クライアントはこのスクリプトをスケジュールに基づいて実行するように設定する必要があります。理想的には、ステップ 3 で設定したクエリ パラメータに一致するスケジュールで cron ジョブ (または同様のもの) を使用します。
結果
スクリプトが少なくとも1回実行されると(デバッグフラグをfalseに設定して!)、集合的なインサイトの結果は、ダッシュボードのRecorded Future UIで表示できます。 ダッシュボード。UI のダッシュボード パネルには、 トレンドと アクティビティ (MITRE ATT&CK ヒートマップ) が表示されます。
[検知トレンド] パネルと [検知アクティビティ] パネルをクリックして、どの検知が各分析を推進しているかを確認し、Okta からのすべての検知に共通する属性についての洞察を取得します。
関連記事