Recorded Future for Splunkアプリには、さまざまなThreatプロファイルに利用できる多数の相関ユースケースがあります。検知を担当する保存済み検索は、設定›相関のトグルを使用して無効にすることができます。相関関係を無効にすると、リスク リストは最新の状態に保たれますが、新しいアラートは生成されません。
相関関係の種類
相関関係を設定する場合、3 つのタイプがあります。
-
「相関」 - 特定のインデックスと特定の情報源タイプを調べます。 これにより、必要に応じて完全にカスタムの検索を柔軟に使用することもできます。
-
「データ モデルの相関」 - 相関させる特定のデータ モデルがある場合。
-
「Splunk Enterprise セキュリティ相関」 - ネットワーク トラフィックや Web データ モデルなどのデフォルトの ES データ モデルを調べます。
相関関係を保存すると、バックグラウンドで次の処理が行われます。
-
アプリはユースケースに関連付けられたリスク リストを取得します。最初のダウンロード後、リスク リストは Recorded Future API と同期された状態に保たれます。
-
アプリは保存された検索を作成します。
-
この検索では、ルックアップ ファイルを使用して、検索からのイベントとルックアップ ファイルの内容を関連付けます。
-
検索は -7d の時間枠で 1 回実行されます。その後、検索は 3 分間隔で実行され、一度に 3 分間のログが相関されます。
-
一致または相関は、Splunkサーバーのcorrelation_cache_<datatype>と呼ばれるKVストアコレクションファイルに保存されます。
-
相関キャッシュは、含まれるデータのタイプ(IP、ドメイン、ハッシュなど)に基づいて分割され、各ファイルには保存可能なデータ量を定義する有効期限が設定されています。デフォルトでは、これらの値は365日または10万行に設定されていますが、 recordedfuture_settings.confで変更できます。
-
-
相関ダッシュボードには、相関キャッシュ検索ファイルからの相関が動的に入力されます。
相関ダッシュボードの設定
- 設定>相関関係に移動
- 「新しい相関関係」 > 「相関関係を追加」をクリックします。
- 相関関係のタイトルを追加する
- IOCを選択: 相関エンティティの種類は、IP、ドメイン、ハッシュ、脆弱性、またはURLです。
-
検査するイベントの情報ソースを選択します。
- インデックス: これはソースタイプによって使用されるインデックスです。選択すると、過去 24 時間にインデックスが作成されたイベントの数が UI に表示されます。
- ソースタイプ: 検査対象のイベントのソースタイプです。選択すると、このソースタイプが過去 24 時間に生成したイベントの数が UI に表示されます。
- フィールド: リスクリストと相関させるIOCを含むフィールドです。選択すると、過去24時間にこのフィールドを持つイベントが、そのソースタイプによっていくつ生成されたかがUIに表示されます。また、相関に使用できるIOCの割合(例:有効なIPアドレスであるIOCの割合)もUIに表示されます。相関ユースケースを選択してください。相関ユースケースの行にマウスポインターを合わせると、詳細が表示されます。
6.「保存」をクリック
データモデルを使用した相関ダッシュボードの設定
-
設定>相関関係に移動
-
「新しい相関関係」 > 「データモデルの相関関係を追加」をクリックします。
-
相関関係のタイトルを追加する
-
IOCを選択: 相関エンティティの種類は、IP、ドメイン、ハッシュ、脆弱性、またはURLです。
-
相関ユースケースを選択します。相関ユースケースの行にマウスを移動すると、詳細が表示されます。
-
検査するイベントの情報ソースを選択します。
-
データ モデル: イベントを含むデータ モデルの名前です。緑色のチェックマークは、データ モデルに過去 24 時間のイベントが含まれていることを示します。
-
セクション: 検査対象のイベントのセクションです。選択すると、UI には、そのセクションが過去 24 時間に生成した内容が緑色のチェックマークで表示されます。
-
フィールド: リスク リストと相関する IOC を含むフィールド。選択すると、UI には、このフィールドを持つ、過去 24 時間にソースタイプが生成したイベントの数が表示されます。
-
-
[保存]をクリックします