はじめに
Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。
- Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
- 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。
Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。
- process_sha256 - プロセスバイナリのSHA256ハッシュ
- detection_timestamp - アラートが最初に検出されたときのタイムスタンプ
- id - 固有のアラート ID
- type - 生成されたアラートの種類
はじめる
Carbon Black 用の Collective Insights を設定するには、次の 2 つの展開モードがあります。
1.ホスト型サービス- このモードでは、Carbon black からのアラートを取り込むためのコネクタは、Carbon black からアラートを取得する Recorded Future でホストされます。
2.スクリプト ソリューション- このモードでは、Carbon black からのアラートを取り込むためのコネクタが、Carbon black から検知をプッシュする顧客の環境にスクリプトとして展開されます。
インテグレーションセンター経由でインストールする
VMware Carbon Black のRecorded Future統合を有効にするには、左側のメニューの統合センターに移動します。
VMware Carbon Black タイルをクリックします。
統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。
注: [セットアップ] ボタンを表示するには、管理者である必要があります。
表示されるセットアップ モーダルに要求された情報を入力します。
- コネクタ名: Collective Insights Connector For VMware Carbon Black
-
VMware Carbon Black 認証
- サーバー URL: Carbon Black サーバー URL
- API ID
- API秘密鍵
- 組織キー
「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。
- 名前:機能の名前
-
検知パラメータ
- アラート判定:
- コネクタ更新頻度:更新頻度は、Recorded Future が更新間隔を空ける時間を指します。時間、分、または日数で設定できます。Recorded Future は、この頻度に基づいて更新をポーリングしますが、前回のクエリ以降のすべての新規イベントが対象となります。デフォルト(推奨)の頻度は 30 分ごとです。
-
初期インポート
- 検知 最終作成日: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの範囲は1日です。過去24時間を超える範囲を指定すると、設定プロセスに遅延が生じる可能性があります。
「アクティブ化」をクリックします。
スクリプト ソリューションを展開する手順 (上級)
この記事には、Carbon Black 検知 をRecorded Futureの集合的洞察データ モデルにマッピングするスクリプト (CB-Collective_Insights.py) が添付されています。 このスクリプトは、Carbon Black から各 IOC の JSON オブジェクトを構築するための API リクエストを作成し、それを裏付ける証拠とともに Recorded Future Collective Insights API に送信します。このスクリプトを実行するには次のものが必要です。
- カーボンブラッククラウド
- 組織ID/組織キーが必要です
- API ID/APIシークレット
- 注: Carbon Black EDR (オンプレミス、以前は CB レスポンスとして知られていました) はサポートされていません
- Python v3.8.18以降がインストールされ、インターネットにアクセスできるローカルマシン
- スクリプトをスケジュールに従って実行するように設定できるサーバー/ワークステーション
- Recorded Future API および Carbon Black Cloud API へのインターネット アクセス
- api.recordedfuture.com をホワイトリストに登録することをお勧めします
- 有効なRecorded Future Collective Insights APIトークン(メールアドレス support@recordedfuture.com これをリクエストする
インストール
パッケージが提供され、インストールが実行されるマシンにダウンロードされたら、次の手順を実行してスクリプトを初めて構成および実行できます。
- オプション: .bashrc に環境変数を作成するファイル
#CB統合export RF_API_KEY=<Recorded Future API KEY>エクスポート CB_ORG_ID=<Carbon Black Org ID>export CB_HOSTNAME=<Carbon Black Hostname>export CB_SECRET=<Carbon Black API Secret>エクスポート CB_API_ID=<Carbon Black API ID>
- 依存関係をインストールし、次の場所からスクリプトを実行するための新しい仮想環境をセットアップします。
python3 venv venv
- 新しい仮想環境をアクティブ化します:
情報源 venv/bin/activate
- requirements.txt (この記事に添付) から依存関係をインストールします。
pip3 インストール -r 要件.txt
- 成功したことを確認するために Python スクリプトを実行します。
python3 CB-Collective_Insights.py -h使用方法: CB-Collective_Insights.py [-h] [-k RF_API_KEY] [-co CB_ORG_ID] [-ch CB_HOSTNAME] [-cs CB_SECRET] [-cid CB_API_ID] [--debug] [-l {DEBUG,INFO,WARNING,ERROR,CRITICAL} ] [-ef 除外ファイル]
- イベントを取り込んで集合的なインサイトに送信するために、毎日スケジュールに従って実行されるスクリプトを設定します。
- 毎晩 00:15 に実行する cron スケジュールの例:
15 0 * * * <FILE_DIR>/venv/bin/python3 <FILE_DIR>/CB-Collective_Insights.py -k RF_API_KEY -co CB_ORG_ID -ch CB_HOSTNAME -cs CB_SECRET -cid CB_ID
トラブルシューティング
以下のセクションは、スクリプトの実行中に問題が発生した場合のトラブルシューティングのサポートを提供します。
-
モジュールがインストールされていないため、スクリプトが失敗します。
- requirements.txtがpip3で正しくインストールされているか確認してください
- Pythonパッケージがインストールされた仮想環境がアクティブ化されていることを確認します
-
Recorded Future Collective Insights API に送信する権限がありません
- Recorded Future APIトークンに正しいCollective Insights API権限が有効化されていることを確認します。
-
Carbon Black Cloud からイベントを収集する権限がありません
- APIキーに適切なアクセスレベルと権限が有効になっていることを確認してください(参照については、 - アラート API - Carbon Black 開発者ネットワーク)
- API IDとAPIシークレット(キー)が正しいパラメータの場所にあることを確認します。
-
約 100 個の異なるハッシュを取り込んでいるのに、Collective Insights に送信されているのが約 80 個だけなのはなぜですか?
- おそらく、返送するリストからハッシュを除外するために -ef オプションを使用していると思われます。
- このオプションを削除するか、除外ファイルから必要なハッシュを削除します
-
Carbon Black から 800 件のイベントを取り込んでいるのに、ログには 200 件のハッシュしか送信していないと表示されるのはなぜですか?
- Collective Insights には、API 経由で送信するときに固有の指標をフィルタリングする機能があります。
よくある質問
1. Carbon Black で Collective Insights の API ID とシークレットを生成するにはどうすればよいでしょうか?
ステップ1: カスタムアクセスレベルの作成
Carbon Black Cloud コンソールにログインしたら、[設定] -> [API アクセス] -> [アクセス レベル] に移動します。そこから、既存のアクセス レベルを表示できます。「アクセス レベルの追加」をクリックします。適切な名前と説明を入力し、必要な権限を選択します。「保存」をクリックすると、アクセス レベルが作成されます。
ステップ2: APIキーの作成
アクセス レベルを保存したら、[設定] -> [API アクセス] -> [API キー] に移動します。そこから、既存の API キーを表示できます。「API キーを追加」をクリックします。適切な名前と説明を入力してください。アクセス レベルのタイプとして「カスタム」を選択し、手順 1 で作成したアクセス レベルの名前としてカスタム アクセス レベルを選択します。[保存] をクリックすると、API キーが作成され、生成された API ID と秘密キーが表示されます。参照できるように API ID とシークレットをコピーして保存してください。
2. Collective Insights のアクセス レベルの一部として必要な権限は何ですか?
API キーには、アクセス レベルの - アラート カテゴリにあるタグ、ThreatMetadata、メモ、ThreatHunt、および一般情報への読み取りアクセス権が必要です。
3. Carbon Black ダッシュボードと警戒トレンド ダッシュボードの間にアラートまたはアラート数の不一致が表示されないのはなぜですか?
Carbon Black からのすべてのアラートが Collective Insights に届くわけではありません。Carbon Black のアラートを Collective Insights に送信するには、次の条件が一致している必要があります。
a.Carbon Black のアラートでは、SHA256 ハッシュ (process_sha256) に null 以外の値が表示されている必要があります。
b.アラートの決定は、TRUE_POSITIVE または FALSE_POSITIVE のいずれかになります。(注意: 決定値が「なし」のアラートは Collective Insights に取り込まれません)
4.警戒活動ダッシュボードにカーボン ブラック アラートに関連する MITRE コードが表示されないのはなぜですか?
現在、Carbon Black アラート から入手できる MITRE ATT&CK コードはないため、 検知 アクティビティ ダッシュボードには反映されません。
5. ホストされたサービスから Carbon Black への通信を許可するためにホワイトリストに登録する必要がある IP アドレスは何ですか?
ホストされたサービスからの通信を許可するには、Recorded Future 専用の AWS の次の IP アドレスからのトラフィックをホワイトリストに登録する必要があります。
- 3.234.126.234
- 54.174.179.90
- 54.88.191.160
6. Multiorg 環境の場合、サブ組織の下にコネクタを設定するにはどうすればよいでしょうか?
特定のサブ組織の下にコネクタを設定するには、その特定のサブ組織にエンタープライズ管理者として切り替え、前述の同じ手順に従ってコネクタを作成してください。 ここ。