はじめに

Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。

• Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
• 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。

Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。

Recorded Future 、Defender 365 からインシデントに関する情報をCollective Insightsに収集し、プラットフォーム全体でインシデントからのインジケーターとTTPs追跡できます。 具体的には、Recorded Future は次の Defender Security ツールから収集できます。

• Microsoft Defender エンドポイント
• Microsoft Defender Identity保護
• Microsoft Defender クラウドアプリ
• Office365 向け Microsoft Defender
• Microsoft 365ディフェンダー
• AzureAd Identity保護
• Microsoft アプリガバナンス
• クラウド向け Microsoft Defender

Recorded Future によって各インシデントから以下のフィールドが収集されます。

• createdDateTime - インシデントが作成された時刻
• title - インシデントのタイトル
• Id - インシデントの一意のID
• serviceSource - インシデントの発生元であるDefenderツール（上記のリストから）
• 検出ソース - 注目すべきコンポーネントまたはアクティビティを識別した検知技術またはセンサー
• mitreTechniques - インシデントに関連するTTPs
• IOCタイプ
• IOCの価値

はじめる

Microsoft 365 Defender の Collective Insights を設定するための 3 つの異なる展開モードがあります。

ホスト サービス- このモードでは、Microsoft 365 Defender からインシデントを取り込むためのコネクタは、Microsoft 365 Defender からインシデントを取得する Recorded Future でホストされます。

スクリプト ソリューション- このモードでは、Microsoft 365 Defender からインシデントを取り込むためのコネクタが、Microsoft 365 Defender からインシデントをプッシュする顧客の環境にスクリプトとして展開されます。

ロジック アプリ- このモードでは、ロジック アプリが Microsoft Azure にデプロイされ、Microsoft 365 Defender からインシデントをプッシュします。

インテグレーションセンター経由でインストールします (推奨)

完全なエンドツーエンドのウォークスルーデモンストレーション

Microsoft Defender XDR のRecorded Future統合を有効にするには、左側のメニューの統合センターに移動します。

Microsoft Defender XDR タイルをクリックします。

統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。

注: [セットアップ] ボタンを表示するには、管理者である必要があります。

表示されるモーダルに要求された情報を入力します。

• コネクタ名: Microsoft Defender XDR 用 Collective Insights コネクタ
• Microsoft Defender XDR 認証
  • クライアントID: 「クライアントID」を確認するには、「アプリ登録 > アプリ > Overview > アプリケーション（クライアント）ID」に進みます。
  • シークレット: 「シークレット」を検索するには、「Microsoft Entra ID > アプリ登録 > アプリ > Overview > 証明書とシークレット > シークレット」に移動します。
  • テナント ID: 「テナント ID」を検索するには、「Microsoft Entra ID > Overview > テナント ID」に移動します。

「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。

• 検知パラメータ
  • コネクタ更新頻度：更新頻度は、Recorded Future が更新間隔を空ける時間を指します。時間、分、または日数で設定できます。Recorded Future は、この頻度に基づいて更新をポーリングしますが、前回のクエリ以降のすべての新規イベントが対象となります。デフォルト（推奨）の頻度は 30 分ごとです。
• 初期インポート
  • 検知 最終作成日: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの範囲は1日です。過去24時間を超える範囲を指定すると、設定プロセスに遅延が生じる可能性があります。

「アクティブ化」をクリックします。

スクリプト ソリューションを展開する手順 (上級)

このスクリプトを実行する前に、次の操作を行う必要があります。

• Python3.8を使用しているインストール済み
• Pythonモジュールrequestsをインストールします（pip install requests）

シークレットは、環境変数またはコマンドライン引数としてスクリプトに渡すことができます。

環境変数:

• RF_API_KEY : Recorded Future APIキー
• MS_CLIENT_ID : Azure AD クライアント ID
• MS_CLIENT_SECRET : Azure AD クライアントシークレット
• MS_TENANT : Azure テナント ID

あるいは、コマンドライン引数として：

• -k : Recorded Future APIキー
• -cid : Azure AD クライアント ID
• -cs: Azure AD クライアント シークレット
• -t: Azure テナント ID

このスクリプトは、統合を構成するための追加のコマンドライン引数もサポートしています。

• -l : インシデントを取得するために遡る日数。毎日実行する場合は1に設定する必要があります
• -fs : フィルター文字列。Collective Insights に取り込まれるインシデントをフィルタリングするためのカスタムODATA フィルター文字列を追加します。
• -ll:統合のログレベル

使用例: python3 365_collective_insights.py -k=<Recorded Future API Token> -cid=< Client ID> -cs=<Client Secret> -t=<tenant ID> -lb 1 -fs="serviceSource eq 'microsoftDefenderForEndpoint'"

ロジックアプリ

ここに記載されている手順に従って、添付の ARM テンプレートを使用してロジック アプリをインストールできます。

よくある質問

1. Microsoft 365 Defender for Collective Insights でクライアント ID とシークレットを生成するにはどうすればよいですか?

ステップ1: クライアントIDの生成

Microsoft Entra ID > アプリの登録 > 新規登録に移動 > アプリの名前を入力 > 必要なアカウントの種類を選択 > 登録をクリック > アプリ登録の概要で、アプリケーション (クライアント) ID フィールドに ID が表示されます。

ステップ2: 秘密の生成

Microsoft Entra ID に移動 > アプリの登録 > アプリを選択 > アプリの概要で > 「証明書またはシークレットの追加」をクリック > 新しいクライアント シークレット > 説明を入力 > 有効期限を選択 > 追加をクリック > 値フィールドがシークレットになります。

ステップ3: 権限を追加する

Microsoft Entra ID に移動 > アプリの登録 > アプリを選択 > API のアクセス許可 > アクセス許可の追加 > Microsoft Graph をクリック > 「アプリケーションのアクセス許可」を選択 > SecurityAlert までスクロール > SecurityAlert.Read.All アクセス許可を追加 > アクセス許可を追加 > グローバル管理者にアクセス許可の変更を承認するよう依頼します。

注意:委任されたユーザー権限は機能しません。

2. テナント ID はどこにありますか?

Microsoft Entra ID に移動します > 概要パネルに、テナント ID というフィールドがあります。これが必要なテナント ID です。

3. Microsoft 365 Defender ダッシュボードと警戒トレンド ダッシュボードの間にアラートまたはアラート数の不一致が表示されないのはなぜですか?

Microsoft 365 Defender からのすべてのアラートが Collective Insights に届くわけではありません。Microsoft 365 Defender のアラートを Collective Insights に送信するには、次の条件が一致している必要があります。

a.アラート内の証拠は次のいずれかになります: microsoft.graph.security.urlEvidence、microsoft.graph.security.ipEvidence、microsoft.graph.security.fileEvidence

b.microsoft.graph.security.urlEvidenceに対応するurl、IPアドレス（ipAddress）、sha256フィールドにはnull以外の値がなければなりません。microsoft.graph.security.ipEvidence、microsoft.graph.security.fileEvidenceそれぞれアラートの種類。

4.警戒アクティビティ ダッシュボードに Microsoft 365 Defender アラートに関連する MITRE コードが表示されないのはなぜですか?

Microsoft 365 Defender アラートの MITRE コードが警戒アクティビティ ダッシュボードに反映されるようにするには、次の条件が一致する必要があります。

a.アラートの MITRE TTPs (mitreTechniques) フィールドは null であってはなりません。

5. ホストされたサービスから Microsoft 365 Defender への通信を許可するためにホワイトリストに登録する必要がある IP アドレスは何ですか?

Defender 365 の Collective Insights では、クライアント環境の Defender と直接通信するのではなく、Microsoft の Graph API とのみ通信するため、ホワイトリスト化は必要ありません。

6. Multiorg 環境の場合、サブ組織の下にコネクタを設定するにはどうすればよいでしょうか?

特定のサブ組織の下にコネクタを設定するには、その特定のサブ組織にエンタープライズ管理者として切り替え、前述の同じ手順に従ってコネクタを作成してください。 ここ。

7. 現在、Microsoft Azure Sentinel と統合されています。Microsoft Defender XDR の Collective Insights コネクタをアクティブ化する必要はありますか?

Defender テレメトリを Sentinel に送信していない場合、または Sentinel で Collective Insights をアクティブ化していない場合、Microsoft Defender XDR の Collective Insights コネクタをアクティブ化することをお勧めします。

ハッピーハンティング!!