はじめに

Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。

• Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
• 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。

Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。

• Threat ID
• インジケータ
• タイムスタンプ

はじめる

SentinelOne の Collective Insights を設定するには、次の 2 つの展開モードがあります。

1.ホスト型サービス- このモードでは、SentinelOne から 検知 を取り込むためのコネクタは、SentinelOne から 検知 を取得するRecorded Futureでホストされます。

2.スクリプト ソリューション- このモードでは、SentinelOne から 検知 を取り込むためのコネクタが、SentinelOne から 検知 をプッシュする顧客の環境にスクリプトとして展開されます。

インテグレーションセンター経由でインストールします (推奨)

完全ガイド付きセットアップウォークスルーデモンストレーション

SentinelOne のRecorded Future統合を有効にするには、左側のメニューの統合センターに移動します。

SentinelOne タイルをクリックします。

統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。

注: [セットアップ] ボタンを表示するには、管理者である必要があります。

表示されるモーダルに要求された情報を入力します。

• コネクタ名: Collective Insights Connector For SentinelOne
• SentinelOne認証
  • インスタンス URL: SentinelOne XDR にログインしたときにブラウザのアドレスバーに表示される URL
  • APIキー: SentinelOne XDRの「ユーザー」>「マイユーザー」にあります。

「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。

• 名前:機能の名前
• 検知パラメータ
  • アナリスト検証済みイベントのみ取得（デフォルトではチェックなし）
  • コネクタ更新頻度：更新頻度は、Recorded Future が更新間隔を空ける時間を指します。時間、分、または日数で設定できます。Recorded Future は、この頻度に基づいて更新をポーリングしますが、前回のクエリ以降のすべての新規イベントが対象となります。デフォルト（推奨）の頻度は 30 分ごとです。
• 初期インポート
  • 検知 最終作成日: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの範囲は1日です。過去24時間を超える範囲を指定すると、設定プロセスに遅延が生じる可能性があります。

「アクティブ化」をクリックします。

スクリプト ソリューションを展開する手順 (上級)

この記事には、SentinelOne 検知 をRecorded FutureのCollective Insightsデータ モデルにマッピングするスクリプト (S1-Collective_Insights.py) が添付されています。 このスクリプトは、SentinelOne から各 IOC の JSON オブジェクトを構築するための API リクエストを作成し、Recorded Future Collective Insights API に送信する裏付けとなる証拠を作成します。JSON アップロードの一部として、各 IOC で MITRE ATT&CK コードが使用可能かどうかを確認します。このスクリプトを実行するには次のものが必要です。

• 有効なRecorded Future Collective Insights APIキー（メールアドレス support@recordedfuture.com これをリクエストする
• SentinelOne APIキー
• SentinelOneエンドポイントURL

1. スクリプトを更新して、S1 APIエンドポイントURLとS1 APIトークンを設定します。
   
   
2. Recorded Future APIトークンをスクリプトに追加する
   
   
3. スクリプトはクライアントによってホストされます。Collective Insights を使用した分析を最大限に活用するには、少なくとも 1 時間に 1 回スクリプトを実行して、最新のイベントを SentinelOne から Recorded Future Collective Insights API に取得するように cron ジョブを設定することをお勧めします。

• • デフォルトでは、スクリプトは過去 1 日間の検知 を収集します。 これをより頻繁に実行する場合は、実行間隔を表すようにこの行を変更します。たとえば、1時間ごとに実行する場合は、(days=1)を(hours=1)に変更します。

デフォルトでは、スクリプトにはdebug=true値が設定されており、これにより、インフラストラクチャ内にスクリプトを実装し、Collective Insights のデータとメトリックに影響を与えずにデータ フローをテストできます。エンドツーエンドのテストを完了し、スクリプトを本番環境に導入して、 Recorded Future UI 内に 検知 が表示されるようにするには、値をTrueからFalseに変更して行を編集する必要があります。

よくある質問

1. SentinelOne for Collective Insights で API キーを作成するにはどうすればよいですか?

SentinelOne にログインしたら、管理コンソールに移動し、「設定」->「ユーザー」->「現在のユーザー」に移動して、「API トークンの生成」をクリックします。生成された API トークンをコピーして、デプロイメントに再利用します。

2. Collective Insights のこの API キーにはどのような権限が必要ですか?

SentinelOne から 検知 にアクセスするには、デフォルトの閲覧者権限で十分です。

3. 検知 が表示されないのはなぜですか? また、SentinelOne と 検知 トレンドダッシュボードの脅威数が一致しないのはなぜですか?

SentinelOne からの脅威がすべて Collective Insights に届くわけではありません。SentinelOne の脅威を Collective Insights に送信するには、次の基準を満たしている必要があります。

• SentinelOneの脅威情報セクションには脅威情報セクションがあるはずです
• 脅威情報には、sha1、sha256、または md5 に少なくとも 1 つの null 以外の値が必要です (優先順位 - sha256、sha1、md5)

4. 検知アクティビティダッシュボードに、SentinelOne の脅威に関連する MITRE コードが表示されないのはなぜですか?

SentinelOne の脅威の MITRE コードが検知アクティビティ ダッシュボードに反映されるには、次の基準が一致している必要があります。

• SentinelOneの脅威にはnull以外の指標配列が必要です
• インジケーター配列の下のインジケーターオブジェクト内には、null以外の戦術が利用可能である必要があります。

5. ホストされたサービスから SentinelOne への通信を許可するために、どの IP アドレスをホワイトリストに登録する必要がありますか?

ホストされたサービスからの通信を許可するには、Recorded Future 専用の AWS の次の IP アドレスからのトラフィックをホワイトリストに登録する必要があります。

• 3.234.126.234
• 54.174.179.90
• 54.88.191.160

6. 複数組織環境内のサブ組織の下にコネクタを設定するにはどうすればよいですか?

特定のサブ組織の下にコネクタを設定するには、その特定のサブ組織に切り替えて、前述の同じ手順に従ってコネクタを作成します。 ここ。注: これにはエンタープライズ管理者権限が必要です。