Proofpoint の Recorded Future Collective Insights

更新

はじめに

Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。

  • Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
  • 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。

Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。

概要

Proofpoint 用の Recorded Future Collective Insights コネクタは、 SIEM APIを介して Proofpoint からの問題に関連する脅威を Collective Insights に取り込みます。具体的には、Proofpoint から次の脅威が収集されます。

1. URL Defenseによって認識された脅威へのクリックをブロックまたは許可

2. URL防御または添付ファイル防御によって認識された脅威を含むメッセージをブロックまたは配信

コネクタは、クリックの問題からの URL の脅威と、メッセージの問題からのドメイン、URL、ハッシュの脅威を収集します。

メッセージの脅威は、次の 4 つの脅威カテゴリでスコア付けされます。

  • フィッシングスコア
  • マルウェアスコア
  • 詐欺師スコア
  • スパムスコア

スコアは0から100までです。スコアが高いほど、確実性も高くなります。ユーザーはスコア フィルターを設定できます。スコア フィルターはグループで有効になります。メッセージが収集されるには、1 つのグループのすべてのスコアしきい値を満たす必要があります。詳細については、メッセージ フィルター ロジックのセクションを参照してください。

次のデータ ポイントが Proofpoint から Collective Insights に取り込まれます。

クリックの問題:

  • 脅威時間
  • URL
  • 脅威ID
  • 分類

メッセージの問題:

  • 脅威情報マップ/脅威時間
  • 脅威情報マップ/脅威タイプ
  • 脅威情報マップ/脅威
  • 脅威情報マップ/脅威ID
  • 脅威情報マップ/分類

 

はじめる

Proofpoint のRecorded Future統合を有効にするには、左側のメニューの統合センターに移動します。

Proofpoint タイルをクリックします。

統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。

注: [セットアップ] ボタンを表示するには、管理者である必要があります。

表示されるモーダルに要求された情報を入力します。

スクリーンショット 2025-10-06 12.20.02午前.png

  • コネクタ名: Collective Insights Connector For Proofpoint
  • プルーフポイント認証
    • プリンシパル: SIEM API 認証のパラメータ。Proofpoint の「Threat Insight Dashboard > 設定 > 接続アプリ」にあります。
    • シークレット: SIEM API 認証のパラメータ。Proofpoint の「Threat Insight Dashboard > 設定 > 接続アプリ」にあります。

「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。

スクリーンショット 2025-10-06 12:20:57午前.png

スクリーンショット 2025-10-06 12.21.33午前.png

  • 名前:機能の名前
  • 検知パラメータ
    • ブロックされたクリックイベントを取得: ブロックされた悪意のある URL のクリックのイベントを取得します
    • 許可されたクリックイベントの取得:ブロックされていない悪意のある URL のクリックのイベントを取得します
    • ブロックされたメッセージを取得:ブロックされた脅威を含むメールのイベントを取得します
    • 配信済みメッセージを取得:ブロックされていない脅威を含むメールのイベントを取得します
    • 次のフィルターは、「ブロックされたメッセージを取得する」または「配信されたメッセージを取得する」のいずれかが有効になっている場合にのみ選択できます。
      • マルウェアフィッシングメッセージとイベントを取得:フィッシングスコアが100でマルウェアスコアが1以上のメッセージとイベントを取得します。スコア範囲: 1~100
      • マルウェア スパム メッセージとイベントを取得:スパム スコアが 100 で、マルウェア スコアが少なくとも 1 であるメッセージとイベントを取得します。スコアの範囲: 1 ~ 100
      • スパムフィッシングメッセージとイベントを取得:フィッシングスコア100およびスパムスコア100以上のメッセージとイベントを取得します。スコア範囲: 1~100
    • コネクタ更新頻度:更新頻度は、Recorded Future が更新間隔を空ける時間を指します。時間、分、または日数で設定できます。Recorded Future は、この頻度に基づいて更新をポーリングしますが、前回のクエリ以降のすべての新規イベントが対象となります。デフォルト(推奨)の頻度は 30 分ごとです。
  • 初期インポート
    • 検知 最終作成日: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの範囲は1日です。過去24時間を超える範囲を指定すると、設定プロセスに遅延が生じる可能性があります。
  • カスタムスコアしきい値
    • スパムスコアしきい値: Proofpoint でのフィルタリング時に適用されるスパムスコア
    • フィッシングスコアしきい値: Proofpoint でのフィルタリング時に適用されるフィッシングスコア
    • マルウェアスコアしきい値: Proofpoint でのフィルタリング時に適用されるマルウェアスコア
    • 偽装スコアしきい値: Proofpoint でのフィルタリング時に適用される偽装スコア

「アクティブ化」をクリックします。

デフォルトに関する注意事項
統合構成では適切なデフォルトが有効になっているため、必要なパラメータのみが指定されている場合、統合は推奨設定で警戒を収集する必要があります。
デフォルト設定は次のとおりです。
  • デフォルトでは、設定から以下のフィルターのいずれかに一致するメッセージのみを収集します。
    • マルウェアフィッシングメッセージとイベントを取得する
    • マルウェアスパムメッセージとイベントを取得する
    • スパムフィッシングメッセージとイベントを取得する
  • 3つのデフォルトのフィルタしきい値グループ(「マルウェアとフィッシングスコアが陽性のメッセージを取得する」、「マルウェアとスパムスコアが陽性のメッセージを取得する」、「フィッシングとスパムスコアが100のメッセージを取得する」)を有効にすることをお勧めします。
    • これら3つのグループは、テスト企業で収集されたメッセージから脅威を約90%削減しました。
  • カスタムフィルタしきい値グループを有効にする場合は、マルウェアしきい値を少なくとも100に設定することをお勧めします。
    • クライアント企業でのテストでは、マルウェアとして分類されたメッセージのマルウェア スコアの 50 パーセンタイルが 100 であることがわかりました。つまり、マルウェアとして分類されたメッセージの少なくとも半分はスコアが 100 でした。
クライアントの要件に応じて必要に応じて設定を再構成してください。
メッセージフィルタロジック
メッセージ フィルター グループは個別に適用されます。メッセージが収集されるには、単一グループのすべてのフィルタしきい値を満たす必要があります。フィルター グループが有効になっていない場合は、すべてのメッセージが収集されます。たとえば、メッセージに次のスコアがある場合:
  • マルウェア: 50
  • フィッシング: 0
  • スパム: 50
  • 詐欺師: 0
また、次のフィルターが有効になります。
  • マルウェアおよびフィッシングスコアが陽性のメッセージを取得する
  • マルウェアおよびスパムスコアがプラスのメッセージを取得する
それから:
  • メッセージは「マルウェアおよびフィッシングスコアが陽性のメッセージを取得する」のすべての基準を満たしていません
    • マルウェア: 50 >= マルウェア: 1
    • フィッシング: 0 < フィッシング: 1
  • メッセージは「マルウェアとスパムスコアがプラスのメッセージを取得する」のすべての基準を満たしています
    • マルウェア: 50 >= マルウェア: 1
    • スパム: 50 >= スパム: 1
したがって、メッセージが収集されます。

 

よくある質問

1. Collective Insights に送信する前に、Proofpoint で脅威にフィルターが適用されますか?

コネクタは、SIEM API からのメッセージを次の方法でフィルター処理します。

  • 無効な問題タイプはフィルタリングされます
  • 無効またはサポートされていないIOCはフィルタリングされます
    • 次の例は、Collective Insights API で受け入れられないか、Collective Insights API に送信する必要があるインジケーターが明確ではないため、無効と見なされます。
      • スキームのないURL
      • バックスラッシュを含むURL
      • スペースを含むURL
      • ドメインに「@」が含まれるURLまたはドメイン
      • メールアドレス
  • しきい値設定を下回る IOC(メッセージの問題にのみ適用)

2. Proofpoint からサービス プリンシパルとシークレットの値を取得するにはどうすればよいですか?

サービス プリンシパルとシークレットは、SIEM API への認証に使用されます。TAP サービス認証情報を生成するには、次の手順に従ってください。

  1. TAP ダッシュボードにログインします。
  2. [設定] > [接続されたアプリケーション]に移動します。
  3. 「新規認証情報を作成」をクリックします。
  4. 新しい認証情報セットに名前を付け、 「生成」をクリックします。
  5. サービス プリンシパルシークレットをコピーし、後で使用するために保存します。

3. Multiorg 環境の場合、サブ組織の下にコネクタを設定するにはどうすればよいでしょうか?

特定のサブ組織の下にコネクタを設定するには、その特定のサブ組織にエンタープライズ管理者として切り替え、 「はじめに」で説明したのと同じ手順に従ってコネクタを作成してください。

 

既知の制限事項

  • SIEM API には、コネクタによって使用される /v2/issues/all エンドポイントのリクエストに対して、1 時間あたり 1800 件のリクエストの制限があります。
  • コネクタは、1 時間間隔 (API で許可される最大間隔) を使用して問題をリクエストします。168 時間の問題の最大初期フェッチを使用した場合でも、コネクタは SIEM API によって設定されたスロットル制限を超えてはなりません。
  • Proofpoint Threats APIからのマルウェアは、利用可能な場合に収集され、Collective Insights に書き込まれます。ただし、Recorded Future に同等の名前がない Proofpoint のマルウェア名は、Collective Insights API によって無視されます。
  • T コードではない Proofpoint Threats API からのTTPsコネクタによって無視されます。

ハッピーハンティング!!

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る