Okta の Recorded Future Collective Insights

はじめに

Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。

• Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
• 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。

Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。

• 指標の種類
• 指標値
• UUID - インシデントの一意のID
• Name - インシデントの名前
• タイプ - インシデントの種類
• 理由 - 結果の理由

はじめる

Okta のRecorded Future統合を有効にするには、左側のメニューの統合センターに移動します。

Okta タイルをクリックします。

統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。

注: [セットアップ] ボタンを表示するには、管理者である必要があります。

表示されるセットアップ モーダルに要求された情報を入力します。

• コネクタ名: Collective Insights Connector For Okta
• Okta認証
  • URL: OktaインスタンスにアクセスするためのサーバーURL
  • API トークン:読み取り専用管理者権限を持つ Okta API トークン

「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。

• 名前:機能の名前
• 検知パラメータ
  • コネクタ更新頻度：更新頻度は、Recorded Future が更新間隔を空ける時間を指します。時間、分、または日数で設定できます。Recorded Future は、この頻度に基づいて更新をポーリングしますが、前回のクエリ以降のすべての新規イベントが対象となります。デフォルト（推奨）の頻度は 30 分ごとです。
• 初期インポート
  • 検知 最終作成日: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの範囲は1日です。過去24時間を超える範囲を指定すると、設定プロセスに遅延が生じる可能性があります。

[保存]をクリックします。

スクリプト ソリューションを展開する手順 (手動)

注: スクリプト ソリューションは、スクリプト作成の経験と管理アクセス権を持つユーザーを対象とした技術的/カスタム実装です。標準的なユースケースでは、組み込みの Okta コネクタを使用することをお勧めします。

この記事には、Okta 検知 をRecorded Futureの集合的洞察データ モデルにマッピングするスクリプト (「okta_collective_insights_keyless[public].py」) が添付されています。 このスクリプトを実行するには次のものが必要です。

• 有効なRecorded Future Collective Insights APIキー（メールアドレス support@recordedfuture.com これをリクエストする
• Okta APIキー
• OktaエンドポイントURL
  • 注: Recorded Future for Okta 統合のホストバージョンでは、構成用のベース URL のみが必要です。

1. スクリプトを更新してOkta API URLとAPIキーを設定します
2. Recorded Future APIトークンをスクリプトに追加する
   
   
3. スクリプトを実行する頻度に合わせて、「previous_date」フィールドを更新します。たとえば、スクリプトを 1 日に 1 回実行する予定の場合は、 previous_date を 1 日前に設定する必要があります。  より頻繁な更新が必要な場合（たとえば、1 時間ごと）は、「days=1」を「hours=1」に変更します。
4. スクリプトをテスト実行します。デフォルト構成では、スクリプトは Okta インスタンスへのライブ API 呼び出しを行い、Recorded Future に送信するデータを収集してフォーマットし、Collective Insights API に送信された API パッケージを検証します。ただし、最初は Collective Insights データベースに書き込まれません。Collective Insights データベースへのデータの送信を開始するには、Collective Insights API の「デバッグ」フラグを false に設定する必要があります。コードを変更する必要があるのは次の部分です。 
5. スクリプトがスケジュールに従って自動的に実行されるようにスケジュールします。Okta 検知 をRecorded Future Collective Insightsデータベースに自動的に送信するには、クライアントがこのスクリプトをスケジュールに従って実行するように設定する必要があります。理想的には、手順 3 で設定したクエリ パラメータに一致するスケジュールで、cron ジョブ (または同様のもの) を介して実行します。

よくある質問

1. Okta で Collective Insights 用の API トークンを生成するにはどうすればいいですか?

管理者として Okta にログインしたら、管理コンソールに移動し、「セキュリティ」->「API」->「トークン」に移動します。そこから、既存のトークンを表示できます。「トークンを作成」をクリックします。適切な名前を付けて、「トークンの作成」をクリックします。トークンが生成されるはずです。デプロイメント プロセスの一部として使用するトークンをコピーします。

2. Okta と 検知 トレンド ダッシュボード間でイベントが表示されなかったり、イベント数が一致しないのはなぜですか?

Okta からのすべてのイベントが Collective Insights に届くわけではありません。Okta のイベントを Collective Insights に送信するには、次の条件が一致している必要があります。

a.イベント タイプは「security.threat.detected」である必要があります。

b.イベントの下に俳優情報があり、俳優情報の下の表示名が null であってはなりません。

3. 検知アクティビティダッシュボードに Okta イベントに関連する MITRE コードが表示されないのはなぜですか?

Okta のイベントに関連する MITRE コードを検知アクティビティダッシュボードに反映するには、次の基準が一致している必要があります。

a.イベントの下に結果情報が存在する必要があり、結果情報の下の理由は null であってはなりません。

4. ホストされたサービスから Okta への通信を許可するためにホワイトリストに登録する必要がある IP アドレスは何ですか?

ホストされたサービスからの通信を許可するには、Recorded Future 専用の AWS の次の IP アドレスからのトラフィックをホワイトリストに登録する必要があります。

• 52.204.27.85
• 54.198.55.229
• 54.156.251.192
• 34.235.48.77

5. Multiorg 環境の場合、サブ組織の下にコネクタを設定するにはどうすればよいでしょうか?

特定のサブ組織の下にコネクタを設定するには、その特定のサブ組織にエンタープライズ管理者として切り替え、前述の同じ手順に従ってコネクタを作成してください。 ここ。

ハッピーハンティング!!