プレイブック
組織のユースケースを考慮し、ニーズに合った対応するプレイブックをインストールします。
| ユースケース | プレイブック |
| 応答 | エンリッチメントプレイブック |
| 検出する | インジケーターのインポート/リスクリストのプレイブック |
| SOC効率 | アラートプレイブック |
| Sandbox | サンドボックスプレイブック |
| Threatハント | Threatハントプレイブック |
| カスタムコネクタ | カスタムコネクタ |
| 非推奨のプレイブック | 非推奨のリスクリストのプレイブック |
ワークブック
ワークブック テンプレートはソリューションの一部としてインストールされ、Sentinel のワークブック テンプレート セクションで保存および構成できます。
分析ルール
Recorded Future ソリューションには、分析ルール テンプレートが含まれています。これは、脅威ハンティングのインポートされたリスク リストに関連するアラートをトリガーするように構成できます。
Collective Insights
Microsoft Sentinel は、 Collective InsightsをネイティブにサポートするRecorded Futureのプレミア統合の 1 つです。 この機能を有効にするには、Sentinel 内で Recorded Future エンリッチメント プレイブックを設定します。エンリッチメント プレイブックを設定する手順については、Recorded Future for Sentinel gitrepo を参照してください。エンリッチメント プレイブックが設定されると、Recorded Future データで作成されエンリッチメントされたすべてのインシデントが Collective Insights に含まれるようになります。Sentinel の Collective Insightsに使用されるデータ ポイントは次のとおりです。
- IOCタイプ
- IOCの価値
- インシデントID
- インシデントカテゴリー
MS Sentinel のエンリッチメント プレイブックでは、Collective Insights がデフォルトでオンになっていることに注意してください。エンリッチメント プレイブック内のパラメータ「Intelligence Cloud」を「false」に設定することで、Collective Insights をオプトアウトし、MS Sentinel 内のエンリッチメント プレイブックを引き続き使用することも可能です。
ベストプラクティス
このリファレンス アーキテクチャの目的は、お客様が現場で実装したユースケースとともに、Recorded Futures を Microsoft Azure スイートに統合することで実現できる機能について理解できるようにすることです。