Logrhythm の Recorded Future Collective Insights

更新

はじめに

Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。

  • Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
  • 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。

Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。

概要

これは、過去 24 時間以内に作成された LogRhythm からのアラームを取り込むスクリプト ベースのソリューションです。この時間枠は、追加の集合的な洞察を補充するために調整できます。このスクリプトでは、リスクベースの優先度に基づいてアラームをフィルタリングすることもできます。さらに、ユーザーは、 Recorded Future生成されたアラームのみを送信するか、ルール名の除外リストを指定してアラームを除外するかを選択できます。

Recorded Future によってアラームから収集されるフィールドは、以下のように定義されます。

  • アラームID
  • アラームルール名
  • 挿入日
  • 影響を受けたホスト
  • 影響を受けるIP
  • オリジンホスト
  • オリジンIP
  • ドメイン
  • URL
  • cve

はじめる

統合スクリプトを実行するには、次の前提条件が必要です。

  1. Python >=3.8、<=3.10
  2. ログリズム >=7.4.10
  3. 以下の要件を持つサーバー (つまり、プラットフォーム管理者):
  4. Collective Insightsが有効になっているRecorded Future API キー
  5. LogRhythmサードパーティアプリケーションAPIキー
    • 見る APIキーの生成手順については 、「APIを使用するためのアプリケーションの登録」を参照してください。

インストール:

  1. APIキーとAPI URLの両方の環境変数を作成する
    • 実行(Windows + R)を開き、sysdm.cplと入力します。
    • 詳細設定タブ→環境変数へ移動
    • 3 つの新しいユーザー環境変数を追加します。
      • RF_API_キー
      • LOGRHYTHM_API_KEY
      • ログリズムAPIURL
  2. logrhythm_collective_insights.zip パッケージを解凍します。次のファイルが存在するはずです:
    • logrhythm_collective_insights.py
    • psengine-.whl<version>
    • 要件.txt
  3. コマンドプロンプトを開き、LogRhythm Collective Insightsフォルダに移動します。
    • cd C:\<directory-path> \logrhythm_collective_insights
  4. requirements.txt ファイルから依存関係をインストールする
    • C:\<python-path>\Scripts\pip.exe install -r requirements.txt
  5. -d フラグ(デバッグ モード、検知 は送信されません)を使用してスクリプトを手動で実行し、正常に終了することを確認します。
    • C:\<python-path> \python.exe logrhythm_collective_insights.py -d
  6. スクリプトをスケジュールに従って実行するように設定します。タスク スケジューラを開く → タスクの作成:
    • 一般的な
      • 名前: LogRhythm Collective Insights
      • 説明: アラームデータを Recorded Future の Collective Insights API に送信します
      • セキュリティ オプション: ユーザーがログオンしているかどうかに関係なく実行する
    • トリガー
      • タスクを開始する: スケジュールに従って
      • 設定: 毎日
    • アクション:
      • アクション: プログラムを起動する
        • プログラム/スクリプト: C:\<python-path>\python.exe
        • 引数: C:\<directory-path> \logrhythm_collective_insights\logrhythm_collective_insights.py
    • 条件: デフォルト、または希望する条件
    • 設定: デフォルト、または好みの設定
    • タスクを手動で実行し、正常に完了したことを確認します。検知は、まもなくCollective Insightsで利用できるようになります。

(オプション) スクリプトを手動で実行し、-lb フラグを含めることで、Collective Insights に送信する追加のアラームをバックフィルします。このフラグは、アラームを検索する日数を表す正の整数を受け取ります。

よくある質問

1. 「モジュールがインストールされていません」という理由でスクリプトが失敗するのはなぜですか?

requirements.txt ファイルから必要なモジュールがすべてインストールされていることを確認します。これは、コマンドプロンプトで pip freeze を実行することで実行できます。

2. Recorded Future Collective Insights API に送信すると 403 エラーが表示されるのはなぜですか?

Recorded Future API トークンに Collective Insights API に必要な正しい権限があることをアカウント チームに確認してください。

3.LogRhythm API URL はどこにありますか?

オンプレミス展開の場合、デフォルトの LogRhythm API URL は、Platform 管理者の http://localhost:8505/ で利用できます。 クラウド デプロイメントの場合、API URL については LogRhythm にお問い合わせください。

4. Recorded Future生成されたアラームのみを送信するにはどうすればよいですか?

これは、スクリプトに -rf フラグを追加することで実行できます。これにより、アラーム ルール名に「Recorded Future」が含まれるアラームが検索され、それらのアラームのみが含められます。

5. リスクベースの優先度に基づいてアラームを送信するにはどうすればよいですか?

これは、スクリプトに -rbp フラグを追加することで実行できます。このフラグは [0, 100] の整数を受け取り、それを使用してリスクベースの優先度スコアが低いアラームを除外します。

6. アラームの送信を除外する他の方法はありますか?

アラームは名前に基づいて除外できます。これは、除外するルール名を含む除外テキスト ファイルを作成することによって実行できます。このファイルは、各アラーム ルール名が 1 行に記述されたテキスト ファイルである必要があります。スクリプトは、それらの名前に一致するアラームをすべて除外します。スクリプトを実行するときに、-ef フラグとファイル名をフラグ引数として追加します。

7. 同じアラームIDとアラーム名を持つ検知が複数あるのはなぜですか?

アラームの原因となるイベントは複数存在する可能性があります。スクリプトはアラーム内の各イベントを調べ、イベント フィールドから可能性のある IOC を抽出します。これらのイベントはすべて同じインシデント ID (アラーム ID) で送信され、同じ説明 (アラーム ID: アラーム ルール名) が付けられます。

8. 40 個のアラームがトリガーされたのに、インジケーターの送信が 20 個しかないのはなぜですか?

Collective Insights には、API 経由で送信するときに固有の指標をフィルタリングする機能があります。さらに、LogRhythm アラームは、次のアラーム フィールドに有効な IP、ドメイン、または URL 値がある場合にのみ収集されます。RFC-1918 IP アドレスは送信から除外されることに注意してください。

  • 影響を受けたホスト
  • 影響を受けるIP
  • オリジンホスト
  • オリジンIP
  • ドメイン
  • URL
  • cve

最後に、LogRhythm アラーム検索 API も、リクエストごとに 100 個のアラームしか返すことができません。アラームが 100 個を超える場合、結果をページ分けする方法はありません。この制限により、1 時間以内に 100 件を超えるアラームがトリガーされた場合、すべてのアラームが Collective Insights に送信されるわけではありません。

9. スクリプトにまだ問題がある場合はどうすればいいですか?

スクリプトは、logrhythm_collective_insights\logs ディレクトリ内のすべての実行のログを循環的に保存します。デフォルトでは、ログ レベルは INFO に設定されています。スクリプトを再度実行し、-l DEBUG を追加してログ レベルを DEBUG に変更します。問題を解決できない場合は、support@recordedfuture.com に連絡して最新のログ ファイルをお送りください。

ハッピーハンティング!!

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る