Cortex XSIAM の Recorded Future

更新

Overview :

Cortex XSIAM のマーケットプレイスでは、Recorded Future に関連する 5 つの異なるコンテンツ パックが利用可能です。各コンテンツ パックには統合が含まれており、アクティブ化には Recorded Future からの異なる API トークンが必要です。各コンテンツ パックの詳細については以下をご覧ください。

  1. Recorded Future知性
    • このコンテンツ パックから次の 4 つの統合を追加できます。
      • Recorded Futureイベントコレクター
      • Recorded Future - リスト (パートナー貢献)
      • Recorded Future - プレイブック - アラート (パートナー貢献)
      • Recorded Future v2(パートナー貢献)
  2. Recorded Future Identity
    • このコンテンツパックから以下の統合を追加できます
      • Recorded Future Identity (パートナーの貢献)
  3. Recorded Future Attack Surface Intelligence
    • このコンテンツパックから以下の統合を追加できます
      • Recorded Future Attack Surface Intelligence (パートナー貢献)
  4. Recorded Futureフィード
    • このコンテンツパックから以下の統合を追加できます
      • Recorded Futureリスクリストフィード
  5. Hatching Triage
    • このコンテンツパックから以下の統合を追加できます
      • Hatching Triage (パートナー貢献)

Recorded Futureイベントコレクター

この統合は、Recorded Future から Cortex XSIAM にアラートを取得することを目的としており、Palo Alto Networks によってサポートされています。

利用可能なアクション:

  • Recorded Futureからイベントを取得します

注:この統合は、新しいアラート v3 エンドポイントからアラートを取得します。

Recorded Future - リスト (パートナー貢献)

この統合は、Cortex XSIAM 内から Recorded Future のウォッチリストを検索および管理することを目的としており、Recorded Future によってサポートされています。

利用可能なアクション:

  • 検索アクション
    • Recorded Futureで利用可能なリストを検索およびフィルタリングする
  • リストアクションにエンティティを追加する
    • Recorded Futureエンティティ ID を使用してエンティティをリストに追加するか、フリーテキスト名と関連するエンティティ タイプに基づいて追加します。
  • リストからエンティティを削除するアクション
    • Recorded Futureエンティティ ID を使用してリストからエンティティを削除するか、フリーテキスト名と関連するエンティティ タイプに基づいて追加を行います。
  • リストからエンティティを取得する
    • 指定された任意の数のリストのすべてのエンティティを取得します。一意のリスト ID を見つけるには、検索コマンドを使用します。

Recorded Future - プレイブック - アラート (パートナー貢献)

この統合は、 Recorded Futureから Playbook-アラートを取得して更新することを目的としており、 Recorded Futureによってサポートされています。

利用可能なアクション:

  • 検索アクション
    • Recorded Future からのプレイブックアラートを検索してフィルタリングし、利用可能なものを見つけます。
    • デフォルトでは過去24時間を検索します
  • 詳細アクション
    • Playbook アラート ID を指定して、そのアラートの詳細を取得します
  • 更新アクション
    • Recorded Future のプレイブックアラートのステータスを更新します

Recorded Future v2(パートナー貢献)

この統合は、Recorded Future からリアルタイムの情報とアラートを取得することを目的としており、Recorded Future によってサポートされています。

利用可能なアクション:

  • 評判アクション
    • 新しい Recorded Future SOAR エンリッチメント API を使用します。
    • 使用可能なアクション: ip、domain、url、file(hashes)、cve。
  • 諜報活動
    • エンティティの完全な情報を取得します。
    • IP、ドメイン、URL、ファイル(ハッシュ)、脆弱性(CVE)、マルウェアをサポートします。
  • マルウェア検索アクション
  • アラートアクション
    • Recorded Future で定義されたアラート ルールを取得します。
    • 1 つ以上のアラート ルールからアラートの概要を取得します。
    • Recorded Futureでアラートステータスを設定する
    • Recorded Futureにアラートノートを設定する
  • Threat評価行動
    • フィッシングやマルウェアなどのコンテキストと 1 つ以上の IOC を入力として受け取ります。
    • このコンテキストの判定 (真/偽) と関連する証拠 (リスク ルール) を出力します。

Recorded Future Identity (パートナーの貢献)

この統合は、Recorded Future の Identity Intelligence へのアクセスを提供することを目的としており、Recorded Future によってサポートされています。

利用可能なアクション:

  • Identityアクション
    • アイデンティティの探求
    • 特定のIDの検索
    • パスワード検索

Recorded Future Attack Surface Intelligence (パートナー貢献)

この統合は、Recorded Future の Attack Surface Intelligence へのアクセスを提供することを目的としており、Recorded Future によってサポートされています。

利用可能なアクション:

  • 特定のスナップショットからプロジェクトの問題を取得します(デフォルトは最近のもの)

Recorded Futureリスクリストフィード

この統合は、Recorded Future からリスク リストを取り込むことを目的としており、Recorded Future または Palo Alto Networks のいずれでもサポートされていません。

利用可能なアクション:

  • フィードから指標を取得します
  • 指標に利用可能なリスクルールのリストを取得します

Hatching Triage (パートナー貢献)

この統合は、サンプルを Recorded Future Sandbox に送信して分析し、分析レポートを表示することを目的としており、Recorded Future によってサポートされています。

利用可能なアクション:

  • 指定されたユーザーに代わって API 呼び出しを行うために使用できる新しいキーを作成します。ユーザーには事前に access_api 権限が付与されている必要があります。
  • 新しいプロフィールを作成する
  • 新しいユーザーを作成して返します。ユーザーは、リクエストしたユーザーが所属する会社のメンバーになります。
  • 指定された名前のユーザーのAPIキーを削除します
  • 指定された ID または名前でプロファイルを更新します。保存されたプロフィールは上書きされるため、送信されたプロフィールにはIDを除くすべてのフィールドが含まれていることが重要です。
  • サンドボックスからサンプルを削除します
  • ユーザーとそれに関連するすべてのデータを削除し、すべてのセッションを無効にして API キーを削除します。このユーザーが提出したサンプルは保存されます
  • ユーザーが所有するすべての API キーのリスト
  • サンプルによってダンプされたファイルを取得します。名前はトリアージレポートの出力の「ダンプ」セクションに表示されます。
  • カーネルモニターの出力を取得します
  • さらなる手動分析のために分析の PCAP を取得します
  • 会社が保有するすべてのプロファイルを一覧表示する
  • 単一のタスクに対して生成されたトリアージ行動レポートを取得します。
  • 指定されたサンプルIDに関する基本情報を取得します
  • 指定されたサンプルIDの概要レポートを取得します
  • サンプルの静的分析を取得する
  • 会社内のすべてのユーザーをページ区切りのリストとして返します。ユーザーIDが指定されている場合は単一のユーザーを返します
  • 非公開または公開のすべてのサンプルのリストを取得します
  • 検索クエリに一致するプライベートおよびパブリックサンプルのリストを取得します
  • サンプルがstatic_analysisステータスにある場合、続行するにはプロファイルを選択する必要があります。
  • 分析のためにファイルまたはURLを送信します
  • 既存のプロフィールを更新する

よくある質問:

1. Cortex XSIAM の異なるコンテンツ パックのすべての統合に同じ Recorded Future API トークンを使用できますか?
いいえ。各コンテンツ パックにはRecorded Futureからの異なる API トークンが必要です。唯一の例外は、 Recorded Future Intelligence コンテンツ パックの Events Collector 統合で、統合とは別の API トークンが必要です。

2. Events Collector 統合を介して Recorded Future からアラートを取得する場合と、Recorded Future v2 (パートナー貢献) 統合を介してアラートを取得する場合の違いは何ですか?

イベント コレクターは、組み込みの統合データ モデルと相関ルールを使用して、受信したイベント データをプラットフォーム内の フィールドにマップします。 v2 は、従来のマッパー/分類子/インシデント タイプを利用してアラートを作成し、イベント データをアラート フィールドにマップします。

3. Cortex XSOAR から XSIAM に移行しました。XSOARとXSIAMの異なる統合の動作の違いは何ですか?

次のコンポーネントは、XSOAR と XSIAM の両方で動作するように (プレイグラウンドで) テストされています。

コマンド プレイブック プレイブック - アラート

ip

ファイル

cve

記録された未来の集合的洞察

記録された将来の脅威マップ

記録された将来の脅威のリンク

エンティティエンリッチメント

ドメインの不正使用

脆弱性

脅威アクター検索

リスト管理

ドメインの不正使用

コードリポジトリでのデータ漏洩

脆弱性

 

既知の制限事項:

1.イベントコレクターの統合は、Recorded Futureからのクラシックアラートのみをサポートします。

2. Recorded Future - プレイブック - アラート (パートナー貢献) コンテンツ パックのプレイブック アラートは、そのままでは機能せず、カスタム構成が必要です

 

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る