はじめに
Recorded Future の Collective Insights は、組織にとって重要な脅威の完全なビューを提供する、新しいタイプの Recorded Future 分析です。Collective Insights を使用すると、検出されたインシデントを分析し、次の 2 つの方法で使用できるインテリジェンス リソースを作成できます。
- インフラストラクチャとコントロール全体にわたる侵害を含むビューを取得します
- 匿名化されたデータを使用して、企業の全体的な状況を特定の業界や地域と比較する視覚化と分析を作成します。
Recorded FutureのCollective Insightsの詳細については、 Collective Insightsを使い始める 詳細についてはページをご覧ください。
Sumo Logic Cloud SIEM の Collective Insights コネクタは、次のデータ フィールドを Recorded Future に転送します。
- Id: 信号の一意のID
- 名前: 信号の名前
- タイムスタンプ: この信号の最初のログレコードのタイムスタンプ
- ContentType: 信号内のコンテンツの種類
- ターゲット: 信号の送信先
- 値: シグナルに関連付けられた指標の値
- ObjectType: シグナル内の値に関連するオブジェクトのタイプ
- ListId: Cloud SIEM 内のリストの一意の識別子
前提条件
アクセス ID とアクセス キーを作成するユーザーには、次の権限が必要です。
1. セキュリティ
a.アクセスキーの管理
b.アクセスキーを作成する
2. クラウドSIEMエンタープライズ
a.クラウドSIEMエンタープライズを見る
はじめる
Sumo Logic タイルをクリックします。
統合に関する追加の詳細とリソースが表示されます。青い「セットアップ」ボタンをクリックします。
注: [セットアップ] ボタンを表示するには、管理者である必要があります。
セットアップモーダルに要求された情報を入力します。
- コネクタ名: Sumologic 向け Collective Insights コネクタ
- アクセス ID とアクセス キー: Sumologic でサポートされている認証メカニズムの 1 つ。生成手順については、この記事を参照してください。
- リージョン: Sumologic Cloud SIEM インスタンスのリージョン。サポートされている地域の詳細については、この記事を参照してください。
「保存」をクリックし、必要な情報を入力して Collective Insights 機能を有効にします。
- 名前:機能の名前
-
検知パラメータ
- 最小重大度: Collective Insights に送信される前にイベントに適用される重大度レベル。
- プル制限: Sumologic Cloud SIEMから取得するイベントの数
- コネクタの更新頻度: コネクタを更新する頻度(デフォルト: 30 分)
-
カスタムパラメータ
- カスタムフィルター文字列:フィルター文字列を使用して、Collective Insights に送信するイベントを絞り込みます。
-
初期インポート
- 最後に作成されたアンチ: Recorded Future初期設定に基づいて取得する履歴情報の期間。デフォルトの期間は1日です。過去24時間を超える期間を指定すると、設定プロセスに遅延が生じる可能性があります。
よくある質問
1. Collective Insights のボリューム上限に達した場合、イベントボリュームをどのように管理すればよいですか?
Sumologic からイベント ボリュームを管理するための推奨手順は次のとおりです。
a. ポーリング間隔を長くする
ポーリング頻度を長くすると、Sumologic から一度に取得できるイベントの数は 10,000 件だけであることを認識しながら、Collective Insights に取り込まれるイベントの数を制御できます。
アクション: コネクタ設定ページの「コネクタ更新頻度」で 3 時間以上を選択します。
b. 厳しさを増す
最小重大度を 0 から 3 (中程度以上) などのより高いしきい値に変更します。
アクション: コネクタ設定ページの「最小重大度」で、3 以上を選択します。
c. プル制限
コネクタの実行ごとに取得されるイベントの数を制限する
アクション: コネクタ設定ページの「プル制限」で、10,000 以下を選択します。