はじめに

Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。

• Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
• 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。

Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。

• `id` - 検知の ID
• `description` - 動作の説明
• `timestamp` - 検知に関連付けられた行動のタイムスタンプ
• `type` - 動作IOCタイプ
• `value` - 動作IOC値

インテグレーションセンター経由でインストールする

完全ガイド付きセットアップウォークスルーデモンストレーション

CrowdStrike Falcon のRecorded Future統合を有効にするには、左側のメニューの統合センターに移動します。

CrowdStrike Falcon タイルをクリックします。

統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。

注: [セットアップ] ボタンを表示するには、管理者である必要があります。

表示されるモーダルに要求された情報を入力します。

• コネクタ名: Collective Insights Connector For CrowdStrike Falcon
• Crowdstrike Falcon認証
  • クライアントID: CrowdStrikeのアカウント設定 > APIキーにあります
  • クライアントシークレット: CrowdStrikeのアカウント設定 > APIキーにあります
  • インスタンスのリージョン: CrowdStrikeインスタンスAPI URLにはリージョンが含まれます。例:
    api.us-2.crowdstrike.com
    ' にはリージョン 'us-2' があります

「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。

• 名前:機能の名前
• 検知パラメータ
  • 最小重大度:重大度しきい値
  • 最小信頼度:信頼度閾値
  • コネクタ更新頻度：更新頻度は、Recorded Future が更新間隔を空ける時間を指します。時間、分、または日数で設定できます。Recorded Future は、この頻度に基づいて更新をポーリングしますが、前回のクエリ以降のすべての新規イベントが対象となります。デフォルト（推奨）の頻度は 30 分ごとです。
• カスタム パラメータ(このセクションはデフォルトでは有効になっていません。このセクションを有効にするためのリクエスト手順については、FAQセクションを確認してください。
  • カスタム フィルター文字列: このフィールドは、イベントを Collective Insights に取り込む前に Crowdstrike で適用されるフィルターを取得します。フィルター文字列は FQL (Falcon クエリ言語) 形式である必要があります。同等の FQL で表される一般的なフィルターには次のようなものがあります。
    • 特定のデバイスからのイベントを除外する: device_name != "<name of the device> "
    • 特定の地域のイベントを除外する: region != "<name of the region> "
• 初期インポート
  • 検知 最終作成日: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの範囲は1日です。過去24時間を超える範囲を指定すると、設定プロセスに遅延が生じる可能性があります。

「アクティブ化」をクリックします。

Detects API から - アラート API への移行

CrowdStrike のCollective Insightsコネクタは、CrowdStrike が発表した移行 (Detects API のサポート終了: 2025 年 9 月 30 日) に合わせて、従来の Detects API の代わりに - アラート API を使用するように更新されました。 既存の API トークンには、必要な - アラート: 読み取り/書き込みスコープがすでにあります。 追加の権限は必要ありません。コネクタはこれまでどおり動作し続けます。

よくある質問

1. CrowdStrike で Collective Insights のクライアント ID とシークレットを生成するにはどうすればよいでしょうか?

完全ガイド付きセットアップウォークスルーデモンストレーション

2. Collective Insights 用に生成された API クライアントにはどのような API スコープを指定する必要がありますか?

API クライアントには、CrowdStrike 内でアラート:読み取りアクセス権が必要です。

3.CrowdStrike のインスタンスのリージョンはどこで入手できますか?

インスタンス リージョン フィールドは、リージョンが us-1 でない場合にのみ必須です。リージョンは、CrowdStrikeインスタンスのAPI URLから選択できます（例：eu-1リージョンの場合はapi.eu-1.crowdstrike.com ）。

4. CrowdStrike と検知トレンド ダッシュボードの間で、検知または検知数の不一致が見られないのはなぜですか?

CrowdStrike のすべての検知がCollective Insightsに反映されるわけではありません。 CrowdStrike での動作を Collective Insights に送信するには、次の 2 つの条件が一致している必要があります。

a. IOCタイプはhash_sha256、hash_md5、sha256、md5、ipv4、ipv6、domainのいずれかです。

b. IOC値はnullであってはならない

5. CrowdStrike 検知に関連する MITRE コードが検知アクティビティ ダッシュボードに表示されないのはなぜですか?

現在、コネクタは、CrowdStrike 検知 から入手できる新しい MITRE ATT&CK コードを含むように更新されています。

6. ホストされたサービスから CrowdStrike への通信を許可するためにホワイトリストに登録する必要がある IP アドレスは何ですか?

ホストされたサービスからの通信を許可するには、Recorded Future 専用の AWS の次の IP アドレスからのトラフィックをホワイトリストに登録する必要があります。

• 3.234.126.234
• 54.174.179.90
• 54.88.191.160

7. Multiorg 環境の場合、サブ組織の下にコネクタを設定するにはどうすればよいでしょうか?

特定のサブ組織の下にコネクタを設定するには、その特定のサブ組織にエンタープライズ管理者として切り替え、ここで説明したのと同じ手順に従ってコネクタを作成してください。

8. Collective Insights を取得する前に、Crowdstrike で FQL を使用してカスタム フィルターを有効にできますか?

はい、情報ソースでイベントをフィルターするための FQL クエリを提供できます。 Recorded Future サポートにリクエストしていただければ、Crowstrike コネクタのインスタンスでフィールドを有効にすることができます。（以下を参照してください）

9. Crowdstrike Connector でカスタム フィルター フィールドを有効にするにはどうすればいいですか?

次のようにサポート チケットを作成します。

a. クライアントの問題カテゴリ - 統合

b. 件名 - Crowdstrike Connectorのカスタムパラメータセクションを有効にする

c. 説明 - Collective Insightsにイベントを取り込む前にCrowdstrikeで適用するフィルターの簡単な概要を入力します。

10. Recorded Future は、新しい FQL クエリの作成や既存の FQL クエリのデバッグをサポートしていますか?

Recorded Future は、Crowdstrike で適用される FQL クエリの追加のみを容易にしますが、実際のクエリは、コネクタ内で適用される前に、顧客が Crowdstrike のインスタンス内で検証する必要があります。FQL に関するご質問は、Crowdstrike の担当者にお問い合わせいただくか、Crowdstrike の公式ドキュメントを参照して、要件に応じた適切なクエリを作成してください。

ハッピーハンティング!!