はじめに
Recorded Future Collective Insightsは、クライアントがオンプレミスおよびクラウドベースのインフラストラクチャから脅威検知をRecorded Futureに共有するためのメカニズムです。 これにより、 SecOps Intelligence ダッシュボードにあるような分析を通じて、全体的なセキュリティと脅威の認識が強化されます。
一般的な強力な ID アクセスおよび管理ツールとして、Okta クライアントは、不正なシステム アクセスからの保護を確実にするために Okta を利用しています。この記事では、OktaのCollective Insightsを設定する方法について説明します。 Recorded Futureの集合的な洞察 API。
OktaでCollective Insightsを設定する
この記事には、Okta 検知 をRecorded Futureの集合的洞察データ モデルにマッピングするスクリプト (「okta_collective_insights_keyless[public].py」) が添付されています。 このスクリプトを実行するには次のものが必要です。
- 有効なRecorded Future Collective Insights APIキー(メールアドレス support@recordedfuture.com これをリクエストする
- Okta APIキー
- OktaエンドポイントURL
- スクリプトを更新してOkta API URLとAPIキーを設定します
- Recorded Future APIトークンをスクリプトに追加する
- スクリプトを実行する頻度に合わせて、「previous_date」フィールドを更新します。たとえば、スクリプトを 1 日に 1 回実行する予定の場合は、 previous_date を 1 日前に設定する必要があります。
より頻繁な更新が必要な場合(たとえば、1 時間ごと)は、「days=1」を「hours=1」に変更します。
- スクリプトをテスト実行します。デフォルト構成では、スクリプトは Okta インスタンスへのライブ API 呼び出しを行い、Recorded Future に送信するデータを収集してフォーマットし、Collective Insights API に送信された API パッケージを検証します。ただし、最初は Collective Insights データベースに書き込まれません。Collective Insights データベースへのデータの送信を開始するには、Collective Insights API の「デバッグ」フラグを false に設定する必要があります。コードを変更する必要があるのは次の部分です。
- スクリプトがスケジュールに従って自動的に実行されるようにスケジュールします。Okta 検知 をRecorded Future Collective Insightsデータベースに自動的に送信するには、クライアントがこのスクリプトをスケジュールに従って実行するように設定する必要があります。理想的には、手順 3 で設定したクエリ パラメータに一致するスケジュールで、cron ジョブ (または同様のもの) を介して実行します。
結果
スクリプトが少なくとも1回実行されると(デバッグフラグをfalseに設定して)、集合的な洞察 結果は、SecOps ダッシュボードの Recorded Future UI で確認できます。 UI のSecOpsダッシュボード パネルには、検知トレンドと検知アクティビティ (MITRE ATT&CK ヒートマップ) が表示されます。
検知トレンドと検知アクティビティ パネルをクリックして、どの検知が各分析を推進しているかを確認し、Okta からのすべての検知に共通する属性についての洞察を取得します。
関連記事