Recorded Future のCollective Insightsは、組織にとって重要な脅威の全体像を把握できる、新しいタイプの Recorded Future 分析です。Collective Insights を使用すると、検出されたインシデントを分析して、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。
- インフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します
- 匿名化されたデータを使用して、企業の視界と全体の視界の状況を特定の業界や地域と比較する視覚化と分析を作成できます。
Cloudflare Collective Insights Connector は 、GraphQL API から Cloudflare ファイアウォール イベント を取得します。ファイアウォール イベントは、ファイアウォール セキュリティ ルールをトリガーした HTTP 要求で構成されます。コネクタは、Cloudflare から生のネットワーク ログを取得するのではなく、すでに悪意のあるものとしてマークされているイベントのみを取得します。
情報源 IP アドレスは、このエンドポイントから利用できる唯一の IOC であるため、 Collective Insightsによって取り込まれる唯一のインジケーターです。
Cloudflare ファイアウォール イベントから Collective Insights に次のデータ ポイントが収集されます。
- 日時
- クライアントIP
- 情報源
- 説明
- アクション
はじめる
CloudflareのRecorded Future統合を有効にするには、左側のメニューの統合センターに移動します。
Cloudflare タイルをクリックします。
統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。
注: [セットアップ] ボタンを表示するには、管理者である必要があります。
表示されるセットアップ モーダルに要求された情報を入力します。
- コネクタ名: Cloudflare 用 Collective Insights コネクタ
-
Cloudflare認証
- アクセス トークン: 次の手順 に従って、 カスタム Cloudflare アクセス トークンを生成できます。(カスタムトークンに必要な権限についてはFAQを参照してください)
- ゾーンID: イベントを取得するゾーンのゾーン ID。現在、コネクタは一度に1つのゾーンからのイベントのプルのみをサポートしています。
「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。
- 名前:機能の名前
-
検知パラメータ
- 情報源フィルター: 1 つ以上の指定された情報源に一致するイベントにイベントをフィルターします。このフィールドを空白のままにすると、すべての情報ソースからイベントが取得されます。例: WAF、ファイアウォール ルール、レート制限。
- アクションフィルター:指定したアクションのいずれかに一致するイベントのみをフィルターします。このフィールドを空白にすると、すべてのアクションからイベントが取得されます。例: 許可、ブロック、ログ、チャレンジ
- コネクタ更新頻度:コネクタを更新する頻度 (デフォルト: 30 分)
-
初期インポート
- 検知 最終作成日: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの期間は1日です。過去24時間を超える期間を指定すると、設定プロセスに遅延が生じる可能性があります。
よくある質問:
1. Multiorg 環境の場合、サブ組織の下にコネクタを設定するにはどうすればよいでしょうか?
特定のサブ組織の下にコネクタを設定するには、その特定のサブ組織にエンタープライズ管理者として切り替え、前述の同じ手順に従ってコネクタを作成してください。 ここ。
2. Cloudflare から複数のゾーンをサポートするためにコネクタを追加するにはどうすればよいですか?
Cloudflare では、ゾーンごとに 1 つのコネクタを作成する必要があります。
3. Cloudflare でカスタム アクセス トークンを作成するときに必要な権限は何ですか?
Cloudflare 内の必要なデータ セットにアクセスするには、トークンに次の権限が必要です。
| アカウント | アカウント分析 | 読む |
| ゾーン | ログ | 読む |
| ゾーン | 分析 | 読む |
4. ホストされたサービスから SentinelOne への通信を許可するために、どの IP アドレスをホワイトリストに登録する必要がありますか?
ホストされたサービスからの通信を許可するには、Recorded Future 専用の AWS の次の IP アドレスからのトラフィックをホワイトリストに登録する必要があります。
- 3.234.126.234
- 54.174.179.90
- 54.88.191.160
5. Collective Insights のボリューム上限に達した場合、イベントボリュームをどのように管理すればよいですか?
Cloudflare からのイベントボリュームを管理するために推奨される手順は次のとおりです。
a. ポーリング間隔を長くする
ポーリング頻度を長くすると、Cloudflare から取得できるイベントは一度に 10,000 件までに限られることを認識し、Collective Insights に取り込まれるイベントの数を制御できます。
アクション: コネクタ設定ページの「コネクタ更新頻度」で 3 時間以上を選択します。
b. ノイズを減らすために特定のフィルターを適用する
Collective Insightsに取り込まれたイベントからのノイズを削減するために、実際のセキュリティイベントを反映する価値の高い情報源とアクションを選択します。
例:
私。 waf、ratelimit、ボット管理、I7ddos などの価値の高い情報源に焦点を当て、asn、country などの一般的な情報源は避けます。
ii. ブロック、チャレンジ、jschallenge、connectioncloseなどの実際のセキュリティイベントに関連するアクションに焦点を当て、ログ、スキップ、許可などの受動的なイベントは避けます。
既知の制限事項
GraphQL API から一度に取得できるイベントは 10,000 件のみです。ページネーションはできません。その結果、コネクタが Cloudflare からのイベントを見逃すリスクが高くなります。これを緩和するには、短いポーリング頻度 (<=30 分) を選択し、フィルターを使用することをお勧めします。
ハッピーハンティング!!