はじめに
Recorded Future の Collective Insights は、Recorded Future の新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Collective Insights により、Recorded Future のクライアントは検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。
- Collective Insightsクライアントにインフラストラクチャとコントロール全体にわたる侵害の包括的なビューを提供します。
- 匿名化されたデータを使用すると、企業の視界と全体の状況を特定の業界や地域と匿名で比較する視覚化と分析を作成できます。
Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。
Cortex XSIAMでCollective Insightsを設定する
Cortex XSIAM はCollective Insightsをネイティブにサポートしており、これはRecorded Future v2 インスタンスの設定ページにあるフラグによって制御されます。このフラグはデフォルトでオンになっています。このフラグをオンにすると、「intelligence」、「評判」、「links」、「recordedfuture-collective-insight」のいずれかのコマンドを使用するすべてのプレイブックから匿名化されたデータが自動的に取り込まれます。
Collective Insights の一部として、手動で実行された、またはインシデント タイプに対して実行するように自動構成された各プレイブックから次のデータが収集されます (これは、自動的に実行されるようにプロパティでインシデント タイプをデフォルトのプレイブックにマッピングすることによって構成できます)。
- インシデント - ID、タイプ、名前
- プレイブック名
- インスタンスID
- コマンド
- インジケーター - タイプ、名前
- 再発
- スケジュール
よくある質問:
1.XSIAM のインスタンスでインジケーターの自動強化機能を有効にしました。これらのエンリッチメントを Collective Insights ダッシュボードで確認することはできますか?
いいえ。指標は、 Collective Insightsの検知エクスプローラーに反映されるためには、プレイブック内から強化する必要があります。
2. プレイブック内のインジケーターを拡充して Collective Insights に取り込むために使用する必要があるさまざまなコマンドは何ですか?
次のコマンドは、XSIAM の Collective Insights で動作するようにテストされています。
- 評判(IP、ドメイン、ハッシュ、URL、CVE)
- インテリジェンス(IP、ドメイン、ハッシュ、URL、CVE)
- リンク
- 記録された未来の集合的洞察
- 記録された未来の脅威(地図、リンク)
- アラート(検索、更新、単一)