導入
このドキュメントでは、Recorded Future と Maltego の統合について説明します。これは、サポート サイトに掲載されている、Recorded Future の Maltego 用変換について説明した複数の記事のうちの最初のものです。エンティティ、変換、エンジンを説明する追加の記事を含む、このドキュメントのオフライン バージョンについては、添付の PDF ファイルを参照してください。
統合は、エンティティ、トランスフォーム、およびマシンのセットで構成されます。この統合は Recorded Future のクライアントが利用可能であり、Recorded Future と Malformity Labs によって提供されます。
インストール
インストールには 2 つのステップがあります。
- エンティティ、トランスフォーム、マシンをインストールする
- Recorded Future APIトークンを使用して変換を有効にします
インストール手順1:ハブの変換
Recorded Future 統合は、Maltego Transform Hub を通じてインストールできます。ハブで、Recorded Future 変換タイルを探します。タイルの上にマウスを移動し、[インストール] ボタンをクリックします。
エンティティ、トランスフォーム、マシンは自動的にインストールされます。
インストール手順2: Recorded Future APIトークン
各変換は、Recorded Future API トークンにリンクする必要があります。変換ハブからインストールするときに、Recorded Future API トークンの入力を求められます。
Recorded Future APIトークンが必要な場合は、Recorded Futureサポートにお問い合わせください。
Recorded Future API トークンの管理の詳細については、次のサポート ページをご覧ください: https://support.recordedfuture.com/hc/en-us/articles/4411077373587-Requesting-API-Tokens 。また、API トークンに関するサポートが必要な場合は、 Recorded Future サポートにお問い合わせください。
設定のヒント
変換スライダー
変換スライダーを使用して、特定のエンティティに対して返されるエンティティの数を制御できます。 スライダーの値は Maltego のバージョンによって異なりますが、それぞれのスライダーには選択可能な指定された制限が含まれています。
コレクション
コレクションを使用すると、グラフが大きくなるにつれてグラフを簡素化できます。コレクションをオンにすると、グラフ内の同じタイプのリーフ ノードが自動的に折りたたまれます。コレクションを有効にするポイントを設定することもできます。
グラフ上では、コレクションは以下の例のようになり、RF ドキュメント エンティティのコレクションが含まれます。
取得するRFドキュメントのフィルタリング
これらの変換をサイバー指標または観測可能物に適用すると、通常、いくつかの観測可能物は少数の一致を返し、その他は何にも一致しません。ただし、いくつかの観測可能物は、Maltego グラフで簡単に調査できるよりもはるかに多くの一致を返します。
このような場合、Maltego から Recorded Future ポータルに移動して、関連するイベントを分析できます。
次のプロパティを使用して、変換によって取得された RF ドキュメントのセットをフィルターすることもできます。
- YYYY-MM-DD形式の日付以前に公開された文書のみ
- YYYY-MM-DD形式の特定の日付以降に公開された文書のみ
- Include Media Types (カンマ区切りのリスト)のドキュメントのみ
- 除外メディアタイプからドキュメントを除外します(カンマ区切りのリスト)
これらのフィルター プロパティを編集するには、プロパティ ビューで値を直接編集するか、エンティティをダブルクリックして[プロパティ]タブを選択します。
注: メディア タイプは、 Recorded Futureの高度なクエリ パネルの「情報源タイプ」と同じです。詳細については、次のサポート ページを参照してください: https://support.recordedfuture.com/hc/en-us/articles/115001359907-情報源-Types 。
Maltego の Recorded Future Transforms、特にサポートされているエンティティに関する詳細情報は、このサポート ページにあります。