この統合にはどのような種類の Recorded Future ノートが含まれていますか?
次のRecorded Futureアナリスト ノートのトピックが統合によってサポートされています: アクター プロファイル、サイバーThreat分析、フラッシュ レポート、ハンティング パッケージ、インジケーター、情報、マルウェア ツール プロファイル、情報源プロファイル、 Threatリード、 TTPインスタンス、および検証済みインテリジェンス イベント。
アナリストノートのプレゼンテーションには、Recorded Future のどのようなデータ ポイントが含まれていますか?
取り込まれたアナリストノートには、ノートのタイトル、特定のノートへのRecorded Futureポータルへのリンク、情報源、トピック、検証 URL (ある場合)、説明されているツールまたはアクターに関連する攻撃ベクトル (ある場合)、ノートで使用または言及されている脆弱性とその説明 (ある場合)、[添付ファイル] タブのノート添付ファイルの全内容 (ある場合)、マルウェア ツール プロファイル (マルウェアThreatモデル)、マルウェアの種類と実行プラットフォームのフィールド (ある場合)、マルウェア ファミリ フィールド (常に「マルウェア インスタンス」に設定)、および観測可能オブジェクトが含まれます。
Anomali Observable は、 Recorded Futureアナリスト ノートに含まれる IOC に基づいて作成されていますか?
はい、一部のメモにはドメイン、ハッシュ、IP アドレス、または URL が含まれている場合があります。これによりRecorded Future Risk Score (利用可能な場合) とともに観測可能なものが作成されます。 非常に悪意のある IOC と悪意のある IOC のみが観測可能として追加されます。IType は、IOC に関連付けられた最も重要なRecorded Futureリスク ルールに基づいて異なります。
説明タブと関連付けタブで観測可能な項目の数が異なるのはなぜですか?
場合によっては、脅威モデル レポートの [説明] タブに一定量の観測可能項目が表示され、[関連付け] タブに表示される観測可能項目の数が少なくなることがあります。これは、Anomali TS には特定の Observable が取り込まれるのを防ぐホワイトリスト メカニズムがあるためです。詳細については、Anomali サポート チームにお問い合わせください。
Recorded Future からの観測可能データのリスク スコアが 0 の場合、またはインテリジェンスがない場合はどうなりますか?
IOC のリスク スコアが 0 であるにもかかわらず、 Recorded Futureポータル内のそれに関連付けられたIntelligence Cardに情報がないというアナリスト ノートがある場合があります。 予想通り、情報の完全性を保つために、注記に関連する IOC を引き続き表示することにしました。このような IOC の発生は非常に低いと予想されます。
Anomali で Recorded Future からの CVE エンリッチメント データを表示するにはどうすればよいですか?
情報トピックは、 Vulnerability脅威モデルの下にアナリストノートを作成しますが、 ThreatモジュールとSecOpsモジュールではデータが利用できないため、CVSS および CVSSv3 情報は含まれません。
Recorded Future API トークンが機能していないと思われる場合はどうすればよいですか?
Anomali ThreatStream のRecorded Futureアナリスト ノートに特別に割り当てられた API トークンを使用していることを確認してください。 その他の Recorded Future API トークンには、統合が適切に機能するために必要な権限がない可能性があります。正しいトークンを使用しているにもかかわらずアクセス エラーが発生する場合は、Recorded Future サポートに連絡してサポートを受けてください。