はじめに
Recorded Future の総合的な洞察は新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。集合的な洞察により、すべてのクライアント統合にわたる監視を集約して、すべての監視にわたる傾向を表示できるため、TI およびSecOpsユーザーは、ネットワーク全体でどの監視とTTPs最も一般的であるかに基づいて、優先順位を付けてクライアント ネットワークをより適切に防止および保護することができます。 この記事では、Carbon Blackの集合的なインサイトを設定する方法について説明します。 Recorded Future 集合的洞察 API
Carbon BlackによるCollective Insightsの前提条件
この記事には、Carbon Black 検知 をRecorded Futureの集合的洞察データ モデルにマッピングするスクリプト (CB-Collective_Insights.py) が添付されています。 このスクリプトは、Carbon Black から各 IOC の JSON オブジェクトを構築するための API リクエストを作成し、それを裏付ける証拠とともに Recorded Future Collective Insights API に送信します。このスクリプトを実行するには次のものが必要です。
- カーボンブラッククラウド
- 組織ID/組織キーが必要です
- API ID/APIシークレット
- これらには、検索カテゴリに対する CREATE+READ 権限が必要です。
- これらの権限を使用してアクセスレベルを作成し、APIキーに割り当てることができます。
- Carbon Black API アクセスの詳細については、こちらをご覧ください: https://developer.carbonblack.com/reference/carbon-black-cloud/platform/latest/alerts-api#authentication
- これらには、検索カテゴリに対する CREATE+READ 権限が必要です。
- 注: Carbon Black EDR (オンプレミス、以前は CB レスポンスとして知られていました) はサポートされていません
- Python v3.8.18以降がインストールされ、インターネットにアクセスできるローカルマシン
- スクリプトをスケジュールに従って実行するように設定できるサーバー/ワークステーション
- Recorded Future API および Carbon Black Cloud API へのインターネット アクセス
- api.recordedfuture.com をホワイトリストに登録することをお勧めします
- 有効なRecorded Future Collective Insights APIトークン(メールアドレス support@recordedfuture.com これをリクエストする
インストール
パッケージが提供され、インストールが実行されるマシンにダウンロードされたら、次の手順を実行してスクリプトを初めて構成および実行できます。
- オプション: .bashrc に環境変数を作成するファイル
#CB統合export RF_API_KEY=<Recorded Future API KEY>エクスポート CB_ORG_ID=<Carbon Black Org ID>export CB_HOSTNAME=<Carbon Black Hostname>export CB_SECRET=<Carbon Black API Secret>エクスポート CB_API_ID=<Carbon Black API ID>
- 依存関係をインストールし、次の場所からスクリプトを実行するための新しい仮想環境をセットアップします。
python3 venv venv
- 新しい仮想環境をアクティブ化します:
情報源 venv/bin/activate
- requirements.txt (この記事に添付) から依存関係をインストールします。
pip3 インストール -r 要件.txt
- 成功したことを確認するために Python スクリプトを実行します。
python3 CB-Collective_Insights.py -h使用方法: CB-Collective_Insights.py [-h] [-k RF_API_KEY] [-co CB_ORG_ID] [-ch CB_HOSTNAME] [-cs CB_SECRET] [-cid CB_API_ID] [--debug] [-l {DEBUG,INFO,WARNING,ERROR,CRITICAL} ] [-ef 除外ファイル]
- イベントを取り込んで集合的なインサイトに送信するために、毎日スケジュールに従って実行されるスクリプトを設定します。
- 毎晩 00:15 に実行する cron スケジュールの例:
15 0 * * * <FILE_DIR>/venv/bin/python3 <FILE_DIR>/CB-Collective_Insights.py -k RF_API_KEY -co CB_ORG_ID -ch CB_HOSTNAME -cs CB_SECRET -cid CB_ID
結果
スクリプトが少なくとも1回実行されると、集合的な洞察 結果は、SecOps ダッシュボードの Recorded Future UI で確認できます。 UI のSecOpsダッシュボード パネルに、検知トレンドが表示されます。
「検知トレンド」パネルと「検知アクティビティ」パネルをクリックして、どの検知が各分析を推進しているかを確認し、Carbon Black からのすべての検知に共通する属性についての洞察を得ることができます (注、以下のスクリーンショットは SentinelOne からの検知を示していますが、それ以外は Carbon Black でも同様に見えるはずです)。
トラブルシューティング
以下のセクションは、スクリプトの実行中に問題が発生した場合のトラブルシューティングのサポートを提供します。
-
モジュールがインストールされていないため、スクリプトが失敗します。
- requirements.txtがpip3で正しくインストールされているか確認してください
- Pythonパッケージがインストールされた仮想環境がアクティブ化されていることを確認します
-
Recorded Future Collective Insights API に送信する権限がありません
- Recorded Future APIトークンに正しいCollective Insights API権限が有効化されていることを確認します。
-
Carbon Black Cloud からイベントを収集する権限がありません
- APIキーに対して正しいアクセスレベルと権限が有効になっていることを確認してください(詳細については、 「アラート API - Carbon Black Developer Network 」を参照してください)。
- API IDとAPIシークレット(キー)が正しいパラメータの場所にあることを確認します。
-
約 100 個の異なるハッシュを取り込んでいるのに、Collective Insights に送信されているのが約 80 個だけなのはなぜですか?
- おそらく、返送するリストからハッシュを除外するために -ef オプションを使用していると思われます。
- このオプションを削除するか、除外ファイルから必要なハッシュを削除します
-
Carbon Black から 800 件のイベントを取り込んでいるのに、ログには 200 件のハッシュしか送信していないと表示されるのはなぜですか?
- Collective Insights には、API 経由で送信するときに固有の指標をフィルタリングする機能があります。
関連記事