はじめに
Recorded Future Sandbox for Microsoft Sentinel の統合により、Microsoft Sentinel から Recorded Future の Sandbox にサンプルをアップロードして解析を実行できます。
前提条件
- Recorded Future API トークン
- 注:Microsoft Sentinel for Sandbox の API キーには SecOps、Brand、または Threat Intelligence ライセンスが必要です
- 追加情報やソリューションの依存関係については、こちらをご参照ください
インストール
1. RecordedFuture-Sandbox_Enrichment-Url をデプロイ
2. RecordedFuture-Sandbox_Outlook_Attachment をデプロイ
自動エンリッチメントを設定するには、アラートをカスタム分析ルールにマッピングします。
3. RecordedFuture-Sandbox_StorageAccount をデプロイ
自動エンリッチメントを設定するには、アラートをカスタム分析ルールにマッピングします。
4. インシデントエンリッチメントの自動化をデプロイ
エンリッチメントプレイブックがインストールされ、すべての接続が構成された後、すべてのインシデントにおいて Recorded Future のインテリジェンスで既知のエンティティのエンリッチメントを自動化するための自動化ルールを作成します。
Microsoft Sentinel で「Automation」に移動し、自動化ルールを作成します。新しいルールに名前を付け、トリガーとして「インシデントが作成されたとき」を選択し、アクションとして「プレイブックを実行」を選択し、最後に RecordedFuture-IOC_Enrichment または RecordedFuture-Sandbox_Enrichment-Url をプレイブックとして選択します。
これにより、インシデントが作成されると Recorded Future のプレイブックが実行されます。Recorded Future は IP、ドメイン、URL、またはファイルハッシュのタイプのエンティティが含まれている場合にインシデントをエンリッチします。
サポート
インストールプロセス中にご不明点や支援が必要な場合は、Recorded Future サポート(support@recordedfuture.com)までお問い合わせください。