これは最も一般的な統合ユースケースです。通常、パートナー アプリケーション ワークフローは、追加のコンテキストを必要とする 1 つまたは複数のエンティティ セット (疑わしいトラフィックが観測された IP アドレスや、リスクが不明な既知の脆弱性を持つパッチ未適用のサーバーなど) につながることがあります。エンリッチメント統合では、 Recorded Futureの広範囲かつ豊富なコンテキストを利用して、リスク スコア、リスク証拠、関連エンティティ、およびさまざまな情報源タイプ (ソーシャル メディア、セキュリティ研究ブログ、ダークウェブなど) からの参照例を取得します。
一般的な原則として、インテリジェンス カードで入手できる情報はすべて、Connect API を介して入手できます。パートナー アプリケーション内のインテリジェンス カードのコンテンツを複製しようとする統合では、API の単一リクエストを実行して、すべてのデータを JSON 形式で取得できます。その後、 Threat Intelligenceデータを適切に表示するのはパートナー アプリケーション (および関連する統合コード) の責任になります。 ユーザー エクスペリエンスの一貫性を保つために、Recorded Future の Intelligence カードに似たレイアウトを使用することをお勧めします。このアプローチは、ユーザーが Recorded Future のライセンスを所有する必要がなく、ワークフローをパートナー アプリケーション内でのみ行う場合に便利です。
一部のエンリッチメント統合では、データの簡潔かつ価値の高い部分 (通常はリスク スコア、リスクの証拠、最新の目撃日時) のみを利用し、詳細情報についてはインテリジェンス カードへのリンクが含まれます。この、より限定された Recorded Future エンリッチメント情報の取得は、多くの場合、自動化されたプロセスの一部であり、ユーザーが Recorded Future のライセンスも所有していて、パートナー アプリケーションと Recorded Future 間を簡単に切り替えられる場合に特に役立ちます。
エンリッチメント統合は、オンデマンド検索としても、自動プロセスとしても設定できることに注意してください。
API エクスプローラーを使用すると、さまざまな API クエリのサンプル コードをテストして取得できます。次のスクリーンショットは、IP アドレスのエンリッチメント リクエストを示すものです。エクスプローラーを使用すると、開発者は表示するフィールドを選択でき、「試してみる」ボタンをクリックすると、サンプル コードと実際のデータ レスポンスが生成されます。
Connect API で利用できるさまざまなフィルターとフィールドの詳細については、このサポート ページを参照してください。
エンリッチメントの例:
[1] 特定のIPアドレスのリスクとタイムスタンプ情報を取得する
cURL コマンド:
curl -H "X-RFToken: [APIトークン]" "https://api.recordedfuture.com/v2/ip/141.212.122.64?fields=entity %2Crisk% 2Cタイムスタンプ"
応答:
{
"データ": {
「エンティティ」: {
"id": "ip:141.212.122.64",
"name": "141.212.122.64",
"type": "IpAddress"
} 、
「タイムスタンプ」: {
"firstSeen": "2015-09-08T11:13:02.268Z",
"lastSeen": "2018-08-19T08:26:06.033Z"
} 、
「リスク」: {
"criticalityLabel": "悪意のある",
「ルール」:10,
「証拠の詳細」: [
{
"rule": "Historical Honeypot Sighting",
"evidenceString": "674 sightings on 14 sources including: @atma_es, @EvilAfoot, @gosint2, @DansHoneypot, @Combot_Aeneas. Most recent tweet: honeyminer: #HTTP Possible HTTP attack from 141.212.122.64 https://t.co/FLOlfCYGr2. Most recent link (Aug 8, 2018): https://twitter.com/HoneyPyLog/statuses/1027343633941516288",
"criticalityLabel": "Unusual",
"mitigationString": "",
"timestamp": "2018-08-08T23:59:44.000Z",
"criticality": 1
} 、
{
"rule": "Historically Linked to Intrusion Method",
"evidenceString": "4 sightings on 2 sources: @olaf_j, @EIS_BFB. 1 related intrusion method: Brute Force Blocking (BFB). Most recent tweet: Masterdeb1 BFB-attack detected from 141.212.122.64 to on 13.06.2018 13:25:02. Most recent link (Jun 13, 2018): https://twitter.com/olaf_j/statuses/1006860044451962881",
"criticalityLabel": "Unusual",
"mitigationString": "",
"timestamp": "2018-06-13T11:25:15.000Z",
"criticality": 1
} 、
{
"rule": "Historically Linked to Cyber Attack",
"evidenceString": "381 sightings on 9 sources including: @atma_es, @EvilAfoot, @DansHoneypot, @Combot_Aeneas, @HoneyPyLog. Most recent tweet: #POP3 incoming POP3 attack from 141.212.122.64 https://t.co/PzP5GMttsc. Most recent link (Apr 7, 2018): https://twitter.com/idahohoneypot/statuses/982691878536601605",
"criticalityLabel": "Unusual",
"mitigationString": "",
"timestamp": "2018-04-07T18:49:36.000Z",
"criticality": 1
} 、
{
"rule": "Historically Reported by DHS AIS",
"evidenceString": "9 sightings on 1 source: DHS Automated Indicator Sharing. 9 reports including STIX Package, from Anomali, Inc., Information Technology Sector, NCCIC:STIX_Package-92810b61-7446-47fb-bba9-56dc605fcd12 (Feb 2, 2018).",
"criticalityLabel": "Unusual",
"mitigationString": "",
"timestamp": "2018-02-02T06:50:46.000Z",
"criticality": 1
} 、
{
"rule": "Historical SSH/Dictionary Attacker",
"evidenceString": "17 sightings on 2 sources: Darrens Website, AbuseIP Database. Most recent link (Jan 8, 2018): https://www.abuseipdb.com/check/141.212.121.162",
"criticalityLabel": "Unusual",
"mitigationString": "",
"timestamp": "2018-01-08T14:49:18.057Z",
"criticality": 1
} 、
{
"rule": "Unusual IP",
"evidenceString": "1 sighting on 1 source: Project Turris Attempted Access Greylist.",
"criticalityLabel": "Unusual",
"mitigationString": "",
"timestamp": "2018-08-22T08:34:53.278Z",
"criticality": 1
} 、
{
"rule": "Historically Reported in Threat List",
"evidenceString": "Previous sightings on 2 sources: CINS: CI Army List, Taichung City Education Bureau Unusual IP Address Report. Observed between Jun 24, 2018, and Aug 22, 2018.",
"criticalityLabel": "Unusual",
"mitigationString": "",
"timestamp": "2018-08-22T08:34:53.285Z",
"criticality": 1
} 、
{
"rule": "Recent Honeypot Sighting",
"evidenceString": "2 sightings on 1 source: @HoneyPyLog. Most recent tweet: honeyminer: #DarkIRC Possible DarkIRC attack from 141.212.122.64 https://t.co/FLOlfCYGr2. Most recent link (Aug 19, 2018): https://twitter.com/HoneyPyLog/statuses/1031094900811554816",
"criticalityLabel": "Suspicious",
"mitigationString": "",
"timestamp": "2018-08-19T08:25:55.000Z",
"criticality": 2
} 、
{
"rule": "Recent Multicategory Blacklist",
"evidenceString": "1 sighting on 1 source: Alienvault: IP Reputation Data.",
"criticalityLabel": "Suspicious",
"mitigationString": "",
"timestamp": "2018-08-22T08:34:53.277Z",
"criticality": 2
} 、
{
"rule": "Recently Linked to Intrusion Method",
"evidenceString": "2 sightings on 1 source: @HoneyPyLog. 1 related intrusion method: Darkirc. Most recent tweet: honeyminer: #DarkIRC Possible DarkIRC attack from 141.212.122.64 https://t.co/FLOlfCYGr2. Most recent link (Aug 19, 2018): https://twitter.com/HoneyPyLog/statuses/1031094900811554816",
"criticalityLabel": "Malicious",
"mitigationString": "",
"timestamp": "2018-08-19T08:25:55.000Z",
"criticality": 3
}
],
"riskSummary": "現在遵守されている49のリスクルールのうち10件。",「重要度」: 3,
"リスク文字列": "10/49",
「スコア」: 85
}
}
}