この記事では、 Recorded Future脅威マップに基づいて自動脅威ハンティングを実行するためのXSOARの設定と構成について詳しく説明します。詳細については、 「 Recorded Futureによる自動Threat 」をご覧ください。
Automated Threatハンティング プレイブック - Recorded Future - 視覚アクター Search は、「 Recorded Future Intelligence for XSOAR」コンテンツ パック v1.7.0 の一部です。
入力
- threat_actor - 指定された脅威アクターの名前
- create_profile - XSOAR で脅威アクターの ioc タイプを作成するための true/false 値
- 親向けプレイブック:
- このサブプレイブックは、悪意のあるIOCが見つかり、アナリストがIOCに関連する脅威アクターを特定したい場合に、インシデント調査の中で実行できます。
- このサブプレイブックは、特定の脅威アクターのリスト、つまりクライアントの脅威リストに対して実行できます。プレイブックは各脅威アクターを反復処理します
次のコマンドは、Automated Threatハンティング テンプレート プレイブック内で利用されます。
Threatマップ (仮想アクターのみ)
脅威マップ アクションは、潜在アクターに対する積極的な脅威ハンティング ワークフローを構築するために、企業の妄想アクター マップ (妄想アクターのリスト) を取得します。
- アクション: 'recordedfuture-threat-map'
- 説明: 組織の現在の脅威アクターマップを取得します。
-
入力: 必須の引数はありません。コマンドを実行すると、企業の妄想アクター マップ内のすべての妄想アクターが返されます。
- actor_name: 脅威マップを取得するアクターの名前
- アクター: 脅威マップを取得するアクターのID
- include_links: 脅威アクターへのリンクを取得するかどうか (true/false)
コマンド実行:
アーティファクト ビューアーでのコマンド出力:
Threatリンク検索
リンク検索アクションにより、1 つ以上の妄想アクター エンティティとしての入力を使用して、詳細なRecorded Futureリンク データを取得できます。
- アクション: '!recordedfuture-threat-links'
- 説明: あらゆる脅威アクターのInsikt Group Researchリンクを入手
-
入力: 必須引数なし
- entity_type: コンテキストを取得するエンティティのタイプ。エンティティ名引数にその値を指定する必要があります。「domain」、「ip」、「file」、「url」、「cve」、または「malware」になります。
- entity_name: エンティティ名
- entity_id: エンティティ ID
- source_type: 情報源の種類
- 時間枠: 時間枠
- technical_type: 技術タイプ
引数の説明
- entity_id - Recorded FutureのID
- entity_name - 実際のIOC値自体を記述する値
- エンティティ _type - 受け入れられる列挙リストの 1 つを説明する値: ip、ドメイン、ハッシュ、脆弱性、url
コマンド実行:
アーティファクト ビューアーでのコマンド出力:
注意:このテンプレート プレイブックを使用してThreatマップを活用し、自動Threatハンティングを実行するには、 Threat Intelligenceモジュール ライセンスが必要です。