ExabeamのRecorded Future Collective Insights

導入
Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。

• Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
• 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。

Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。

Overview
次のスクリプトは、フィルターis_iocに一致するイベントを Exabeam から取り込みます。 このスクリプトは、Exabeam API を検索する時間を時間単位で指定する 'lookback' -Lコマンドライン引数 (デフォルトでは 1 時間) に基づいて初期検索を実行します。スクリプトが初めて実行されると、タイムスタンプがファイルに保存され、返されたイベントに応じて今後のスクリプト実行で参照されます。イベントが返される場合、保存されるタイムスタンプは最新の Exabeam イベントのタイムスタンプになります。それ以外の場合、保存されるタイムスタンプはスクリプトの実行時間になります。以降の実行では、Collective Insights に送信する次の一連のドキュメントを検索するときに、この参照タイムスタンプに 1 ミリ秒が追加されます。

• 保存されたタイムスタンプをコマンドライン引数 lookback で上書きするには、まずconfig/latest_timestamp.txtのファイルを削除してから、Python スクリプトを実行する必要があります。

Recorded Future によって各インシデントから収集されるフィールド:

• id - イベントID
• time - 検出されたイベントのタイムスタンプ
• ioc_fields - イベントで見つかったインジケーターをリストする Exabeam イベント フィールド。Recorded Futureは、IP、ドメイン、ハッシュ、URL、脆弱性のタイプに一致するフィールドのみを収集します。
• mitre_labels - 特定のセキュリティ インシデントで使用される特定の MITRE ATT&CK TTPsおよび支払
• malware_family - イベントまたはアラートに関連付けられた特定のマルウェアファミリーまたはグループ

前提条件
統合スクリプトのセットアップ前に、以下の項目をインストール/収集する必要があります。

1. Python v3.10以降がインストールされている必要があります
2. クライアントはExabeam Search APIにアクセスできる必要があります
3. クライアントは、インターネットにアクセスしてスクリプトをローカルで実行できる環境を提供できる必要があります。
   1. スクリプトをスケジュール通りに実行するためのサーバー/ワークステーション
   2. Recorded Future API と Exabeam API へのインターネットアクセス
   3. api.recordedfuture.com をホワイトリストに登録することをお勧めします
4. クライアントは、Collective Insights API にアクセスできる Recorded Future API トークンを持っている必要があります。
   1. これは、IntServコンサルタントまたはPSエンジニアによって提供されます。
5. クライアントは Exabeam から以下のものを受け取る必要があります。
   1. インスタンスリージョン
   2. APIクライアントID
   3. APIクライアントシークレット

セットアップ手順

1. 依存関係をインストールするための新しい仮想環境をセットアップし、次のスクリプトを実行します: python3 -m venv venv
2. 新しい仮想環境のアクティブ化:情報源 venv/bin/activate
3. requirements.txt から依存関係をインストールします。pip3 インストール -r 要件.txt
4. 成功を確認するためにPythonスクリプトを実行します: python3 run_exabeam_ci.py -h
   1. 使用方法: run_exabeam_ci.py [-h] [-k RF_API_KEY] [-c CLIENT_ID] [-s CLIENT_SECRET] [-r {us-west,us-east,canada,europe,singapore,japan,australia} ] [-L LOOKBACK] [--debug] [-l {DEBUG,INFO,WARNING,ERROR,CRITICAL} ]
5. イベントを取り込んで集合的なインサイトに送信するために、毎日スケジュールに従って実行されるスクリプトを設定します。
   1. 毎晩00:15に実行するcronスケジュールの例: 15 0 * * * <FILE_DIR>/venv/bin/python3 <FILE_DIR>/run_exabeam_ci.py -k RF_API_KEY

トラブルシューティング
以下のセクションは、スクリプトの実行中に問題が発生した場合のトラブルシューティングのサポートを提供します。

• モジュールがインストールされていないため、スクリプトが失敗します。
  • pip3でrequirements.txtが正しくインストールされていることを確認します。
  • Pythonパッケージがインストールされている仮想環境がアクティブになっていることを確認します
• Exabeamからイベントを収集する権限がありません
  • 入力パラメータのExabeamリージョン、クライアントID、クライアントシークレットが正しいことを確認します。
• Recorded Future Collective Insights API に送信する権限がありません
  • Recorded Future APIトークンに正しいCollective Insights API権限が有効化されていることを確認します。
• Collective Insights に送信されるイベントよりも多くのイベントが Exabeam から取り込まれるのはなぜですか?
  • Collective Insights には、API 経由で送信するときに固有の指標をフィルタリングする機能があります。
• 「Exabeam API リクエスト制限のためスクリプトが失敗しています」というメッセージが表示されるのはなぜですか?
  • Exabeam の権限では、1 か月あたり 25,000 回の通話が許可されます。一度にクエリされるイベントの最大数を調整するか、統合実行のスケジュールを調整する必要があります。詳細については、Exabeam の担当者にお問い合わせください。