はじめに
Recorded Futureと ServiceNow Threat Intelligence Security Center (TISC) の統合により、組織はリアルタイムのThreat Intelligenceを活用し、セキュリティ運用を強化できます。 この統合は、次の 2 つの主要コンポーネントで構成されます。
- フィード: Threat Intelligenceフィードを TISC に自動的に取り込みます。
- 強化: コンテキストThreat Intelligenceを使用して観測可能データを強化します。
このガイドでは、両方のコンポーネントの前提条件、インストール、および構成手順について説明します。
前提条件
- ServiceNow TISC : ServiceNow 環境に Threat Intelligence Security Center が含まれていることを確認します。
-
ユーザーロール:
- sn_sec_tisc.admin :構成に必要です。
- sn_sec_tisc.アナリスト:エンリッチメントタスクを実行するために必要です。
- Recorded Future API キー: Recorded Future アカウントから取得します。
インストール手順
1. フィードコンポーネントのインストール
- Threat Intelligence Security Center内の統合セクションに移動します。
- Threat Intel Feeds - > STIX TAXII -> Taxi Feedsの下のTAXII Feedsに移動します。
- 右上の「新しい情報ソースの設定」ボタンをクリックします。
-
設定の詳細セクションの必須フィールドと以下の項目を入力します。
- タクシーバージョン: 2.1
- 設定タイプ: Discovery Service URL を入力
- URL : https://api.recordedfuture.com/taxii2
- 認証:基本
- ユーザー名: api (このパラメータは未使用で、任意の値を設定できます)
- パスワード: (APIキー)
- 設定を保存するには、「保存」ボタンをクリックします。
- 接続を検証するには、「接続の検証」ボタンをクリックします。
- この情報ソースから利用可能なすべてのコレクションを取得するには、 「TAXII コレクションの取得」ボタンをクリックします。
- 個々のコレクションを構成して有効にするには、 Threatインテリジェンス フィード」->「STIX TAXII」->「TAXII コレクション」の下の「TAXII コレクション」に移動します。
詳細なセットアップ手順については、添付の TISC - RF STIX TAXII Feed.pdf を参照してください。
2. エンリッチメントコンポーネントのインストール
- ServiceNow ストアでRecorded Future for TISCを検索し、アプリケーションをインストールします。
- Threat Intelligence Security Center内の統合セクションに移動します。
- 「Enrichment 統合」 - >「Observable Enrichment」の下の「Observable Enrichment」に移動します。
- [新しいエンリッチメントの構成]をクリックし、 [TISC エンリッチメント]を選択します。
- 必須フィールドに入力します。
- 名前: (ご希望の名前)
- APIトークン: (APIキー)
- 設定を保存するには、「保存」ボタンをクリックします。
詳細については、添付の「アプリケーションのインストールおよび設定ガイド - Recorded Future for TISC.pdf」を参照してください。
さらにサポートが必要な場合は、 Recorded Future サポート(support@recordedfuture.com ) にお問い合わせください。