導入
Recorded Future Sandbox for Microsoft Sentinel を使用すると、Microsoft Sentinel からRecorded Futureの Sandbox にサンプルをアップロードして実行できます。
前提条件
- Recorded Future APIトークン
- 注: Microsoft Sentinel for Sandbox の API キーにはSecOpsまたは脅威インテリジェンスライセンスが必要です
- ソリューションの依存関係など、追加情報はこちらをご覧ください。
インストール
1. RecordedFuture-Sandbox_Enrichment-Url をデプロイする
2. RecordedFuture-Sandbox_Outlook_Attachment をデプロイする
自動エンリッチメントを設定するには、アラートをカスタム分析ルールにマップします。
3. RecordedFuture-Sandbox_StorageAccountをデプロイする
自動エンリッチメントを設定するには、アラートをカスタム分析ルールにマップします。
4. 自動化されたインシデントエンリッチメントを導入する
エンリッチメント プレイブックがインストールされ、すべての接続が構成された後。すべてのインシデントで Recorded Future インテリジェンスを使用して既知のエンティティの拡充を自動化する自動化ルールを作成します。
Microsoft Sentinel で、自動化に移動し、自動化ルールを作成します。新しいルールに名前を付け、トリガー「インシデントの作成時」を選択し、アクション「プレイブックの実行」を選択し、最後にプレイブックとして RecordedFuture-IOC_Enrichment または RecordedFuture-Sandbox_Enrichment-Url を選択します。
これにより、インシデントの作成時に Recorded Future プレイブックの実行がトリガーされます。記録された将来は、IP、ドメイン、Url、または FileHash タイプのエンティティが含まれている場合、インシデントを強化します。
サポート
インストールプロセス中にご質問やサポートが必要な場合は、Recorded Futureサポート(support@recordedfuture.com )までお問い合わせください。