はじめに
Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。
- Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します
- 匿名化されたデータを使用して、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。
Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。
概要
ThreatConnectにはCollective Insight用の2つのアプリがあります
- 組織アプリ: バックグラウンドで実行され、グループと関連指標をクエリして Collective Insights API に送信します。
- プレイブック アプリ: プレイブック内で使用される、Collective Insights API にインジケーターを送信する「アクション」
組織アプリ
アプリはスケジュールされたジョブとして実行されるように設計されており、構成とデプロイ、TQL を使用したデータの書き戻し、 検知 の一括書き戻しが容易になります。
要件
アプリ入力
|
名前 |
必須 |
説明 |
|---|---|---|
|
Recorded Future APIトークン |
あり |
Collective Insights API にアクセスするために使用される、 Recorded Future API トークン。 |
|
ThreatConnectオーナー |
はい* |
グループおよび関連するインジケーターをフィルターする所有者。 |
|
グループの種類 |
はい* |
関連するインジケーターをフィルターするグループ。 |
|
タグフィルター |
なし |
グループをフィルタリングするタグ。 |
|
最後の実行 |
はい* |
この日付以降に変更されたデータは初回実行時に含められます。その後は、ジョブが正常に完了するたびに日付が自動的に更新されます。 |
|
TQL |
いいえ* |
グループのカスタム TQL クエリ。TQL を使用する場合、他のフィルター フィールドは無視されます。TQLの書き方の詳細については、 |
|
デバッグ |
なし |
Collective Insights API デバッグ モード。 |
|
ログレベル |
なし |
ログレベル。デフォルト: info。 |
* TQL を使用する場合、他のフィルター フィールドは無視されます。TQL を使用しない場合は、「はい*」とマークされたすべてのフィールドが必須です。
説明書
- TcExchange から Recorded Future Collective Insights アプリをインストールします。
- インストールしたら、 [設定] → [組織設定] → [アプリ]に移動します。
- 新しいジョブを追加して構成するには、プラス ボタンを選択します。
- ジョブの名前を入力してください
- 提案された名前: 「 Recorded Future Collective Insights 」
- 実行するプログラムとして「Recorded Future Collective Insights (1.0.0)」を選択します。「次へ」をクリックします。
- 上記の表 (アプリ入力) に指定されているジョブ パラメータを構成します。「次へ」をクリックします。
- ジョブを実行する頻度のスケジュールを構成します。「次へ」をクリックします。
- 必要に応じて、ジョブ出力通知を構成します。[保存]をクリックします。
- ジョブを有効にするには、Collective Insights アプリの[アクティブ]トグルをクリックします。
- ジョブは、入力として指定されたスケジュールに基づいて実行されるようにスケジュールされました。
- 必要に応じて、表にリストされている Collective Insights アプリの[再生]ボタンをクリックして、ジョブを手動で実行します。
使用承認
この組織アプリはデモンストレーション目的でのみ提供されており、独立した検証なしに使用しないでください。Recorded Future は、この組織アプリに関して、明示的、黙示的、法的、またはその他の表明または保証を一切行わず、厳密に「現状のまま」提供します。Recorded Future は責任を負わず、ユーザーは前述の使用に伴うすべてのリスクを負うものとします。
トラブルシューティング
Collective Insights Org アプリはさまざまなレベルで情報を記録します。Collective Insights の生のペイロードやその他のアプリ変数などのデバッグ ログ情報にアクセスするには、アプリ パラメータを構成するときにログ レベルをデバッグに設定します。この設定には、アプリの失敗の原因となるエラーのトラブルシューティングに役立つ情報が含まれます。
プレイブックアプリ
このアプリは、組み込みのデータ型を利用して既存の ThreatConnect プレイブックにシームレスに統合するように設計されており、入力をフォーマットする必要がありません。
要件
- Collective Insights 統合用の Recorded Future API キー
- Recorded Future Collective Insights (.tcx)
- Recorded Future Collective Insightsプレイブック.pbxz
アプリ入力
|
名前 |
データ型 |
必須 |
説明 |
|---|---|---|---|
|
トークン |
弦 |
あり |
Recorded Future API キー。 |
|
指標 |
TCエンティティ配列 |
あり |
IOC は Collective Insights に送信します。 |
|
インシデント |
TCエンティティ |
なし |
関連する ThreatConnect グループは、IOC をクライアントまたはパートナー固有のインシデントに一意に結び付けるために使用されます。 |
|
グループ |
TCエンティティ配列 |
なし |
Recorded Future Collective Insights に送信するマルウェア、MITRE ATT&CK、および/または CVE の関連付け。 |
|
上級 |
文字列、文字列配列 |
なし |
Collective Insights API にデータを書き込むための高度なオプション。利用可能なパラメータの詳細については、以下の「詳細入力」セクションを参照してください。詳細については、 Collective Insights API サポート ページをご覧ください。 |
説明書
1. Playbooks → App Builderに移動し、 Import Projectをクリックして「Recorded Future Collective Insights App 1.0.0」をインポートします。ファイル。Recorded Future Collective Insights アプリが表示されるはずです。
- トリガー出力変数と、Collective Insights アプリの入力パラメータを収集するときに関連付けをクエリする機能のため、Recorded Future Collective Insights プレイブックを使用する場合は、ユーザー アクション トリガーまたはグループ トリガーのいずれかを使用することをお勧めします。
4. プレイブックの入力とトリガー方法の構成が完了したら、プレイブックをアクティブに設定します。
5.アクティブ化されると、プレイブックの実行履歴は「プレイブック」→「アクティビティ」画面から、または「Recorded Future Collective Insights プレイブック」→「実行」画面から直接確認できます。実行詳細のステータスが「OK」または「緑色」で、Logger Utility アプリに概要出力情報が表示されていれば、プレイブックは正常に実行されています。
使用承認
このプレイブックはデモンストレーション目的でのみ提供されており、独立した検証なしに使用しないでください。Recorded Future は、このプレイブックに関して、明示的、黙示的、法的、またはその他の表明または保証を一切行わず、厳密に「現状のまま」提供します。Recorded Future は責任を負わず、ユーザーは前述の使用に伴うすべてのリスクを負うものとします。
トラブルシューティング
Collective Insights Playbook アプリは、さまざまなレベルで情報を記録します。Collective Insights の生のペイロードやその他のアプリ変数などのデバッグ ログ情報にアクセスするには、Playbook アプリまたは Collective Insights Playbook のログ レベルをデバッグに設定します。この設定には、アプリの失敗の原因となるエラーのトラブルシューティングに役立つ情報が含まれます。
高度な入力
|
フィールド名 |
フィールドタイプ |
説明 |
|---|---|---|
|
デバッグ |
ブール値 |
「true」に設定すると、この API 経由で送信されたデータは Recorded Future Intelligence Cloud に保存されません。これは、この API を使用するコードを開発およびデバッグするときに役立ちます。データの送信が完了したら、このフラグを「false」に変更する必要があります。省略した場合、「debug」値はデフォルトで「false」に設定されます。 |
|
検出ID |
弦 |
|
|
検出名 |
弦 |
刑事の名前。 |
|
検出サブタイプ |
弦 |
「type」フィールドに関連する追加データ。現在はタイプ「detection_rule」にのみ必須で、「sub_types」には sigma、yara、または snort を指定できます。 |
|
検出タイプ |
弦 |
IOC がどのように検出されたかを説明する値。使用可能な列挙値 (相関、プレイブック、または検出ルール) のいずれかに対応している必要があります。 |
|
ログフィールド |
弦 |
検知が行われたログ内のフィールド。 |
|
組織ID |
文字列、文字列配列 |
IOC に関連付けられた組織 ID。
|
|
ソースタイプ |
弦 |
侵害が行われたログ情報源の種類。 |
|
タイムスタンプ |
弦 |
IOC が観測または検出された日時に対応する ISO 8601 形式のタイムスタンプ。これが API 呼び出しに含まれていない場合は、API 呼び出し自体のタイムスタンプが IOC に関連付けられます。 |