Recorded Future Threat Intelligence Anomali ThreatStream プラットフォームに統合して使用するには、次の 2 つの方法があります。
-
Recorded Futureエンリッチメントアプリケーション
- エンリッチメント アプリは、IP アドレス、ドメイン、URL、ファイル ハッシュの詳細ページで表示できます。Anomali Threatstream アプリケーション内には、同じエンティティの Recorded Future インテリジェンス カードに表示されるものと同じ情報が表示されます。
- このアプリは、「設定」→「統合」で利用でき、クライアント--> ユーザーが直接構成できます。有効な Recorded Future API トークンが必要です。
-
Recorded Futureデータフィード
- この統合により、Anomali Threatstreamへの指標の一括アップロードが可能になります。
- Recorded Future は、Threatstream APP ストアのフィード オプションとして表示されます。
- 共同顧客は、「トライアルをリクエスト」をクリックすると、この統合を直接構成できます。既存のクライアントであるかどうかを尋ねられます。「はい」をクリックすると、次の画面が表示されます。
- 有効にすると、情報源として「 Recorded Future 」を使用してインジケーターが流入します。
- Recorded Futureリスク ルールは Anomali iType にマッピングされますが、インジケーターに関連付けることができる iType は 1 つだけです。 つまり、複数のリスク ルールをトリガーするインジケーターの場合、特定の Anomali iType 関連付けによって、そのうちの 1 つだけが (ランダムに) 表されます。
- ただし、詳細レベルでは、トリガーされたリスク ルールの完全なセットを復元できます。これは、リスク ルールが「タグ」(および情報ソース URL)にマッピングされているためです。
- Anomali に取り込まれたインジケーターは、履歴目的で無期限に保存されます。インジケーターには、Anomali の ThreatStream に取り込まれた時点で静的な有効期間が与えられます。インジケータが非アクティブになった後に再度報告されると、アクティブ状態に戻ります。Anomali のアクティブ ステータスは、ダウンストリーム統合に利用可能であることと相関しますが、リスク スコアとは関係ありません。デフォルトの有効期限は 30 日ですが、手動で 3 日間まで短く設定することもできます。
- さまざまなデフォルトのリスク リストのデフォルトのポーリングは次のとおりです。
-
ハッシュ - 24時間
-
IP - 2時間
-
ドメイン - 2時間
-
URL - 2時間
-
- ポーリング頻度またはデフォルトの有効期限を変更する必要がある場合は、 support@anomali.comまでお問い合わせください。希望する変更内容を詳しく記入してください。
これらの統合は両方とも Anomali によって作成および保守されており、Recorded Future は発生する可能性のある問題に対して限定的なサポートしか提供できないことに注意してください。