導入
Google Security Operations向けのRecorded Future 、Google Security Operationsプラットフォーム全体の統合エクスペリエンスを向上させます。 Recorded Future Intelligence を組み込むことで SIEM 機能が強化され、データの充実と相関関係の改善が実現し、セキュリティ インシデントのトリアージが迅速化されます。さらに、 Recorded Future - アラートを SOAR コンポーネントに統合し、これらのアラートへの自動化と対応を合理化し、より効率的なセキュリティ運用ワークフローを実現します。
相互ユースケース
Recorded Future のインテリジェンスと Google SecOps を組み合わせることで、お客様は SIEM および SOAR コンポーネント全体にわたる重要なセキュリティ ユースケースに対処できるようになります。
- 自動化されたアラート トリアージとエンリッチメント: SOAR 内の大量のアラートをリアルタイムの脅威コンテキスト (リスク スコア、リスク ルール、Insikt Notes) で自動的に強化することで、アナリストが迅速に優先順位を付け、最も危険な脅威に集中できるようにします。
- Vulnerability優先順位付け: リアルタイムの脅威コンテキストを使用して CVE と脆弱性データを強化し、アンダーグラウンドでの活発な悪用や議論の証拠に基づいてパッチ適用と軽減の取り組みを優先します。
- 積極的なThreat警戒: 継続的に更新されるRecorded Future情報漏洩/侵害の指標 (IoC) を活用して、境界防御をすでに回避している可能性のある脅威を検索して検出し、滞留時間を短縮します。
- Third-Partyリスク管理: 情報漏洩/侵入サードパーティ企業に関連するアラートの監視とトリアージを自動化し、サプライチェーンのリスクに迅速に対応します。
- Identity漏洩の軽減: ダークウェブ上で見つかった、公開された認証情報および情報漏洩/侵入ホストの調査と修復/復旧/改善プロセスを自動化します。
- デジタル資産保護: ドメインの不正使用やコード リポジトリの漏洩など、外部資産を危険にさらす脅威を自動的に検出し、対応します。
統合コンポーネントと利用可能なコンテンツ
当社のコンテンツパックは、Google SecOpsとのシームレスな統合に必要なすべてのコンポーネントを提供します: SIEM ( Threat Intelligence検知) アセット
| 資産タイプ | 資産名 | 説明 |
|---|---|---|
| IoCタイプ | IPアドレス、ドメイン、URL、ファイルハッシュ | 関連するリスク スコアとともに継続的に配信される指標。 |
| パーサー | 標準リスクリスト.conf |
Recorded Future IoC データを Google の統合データ モデル (UDM) に効率的にマッピングし、即時の相関関係を保証するように構成されたカスタム パーサー。 |
| ダッシュボード | Recorded Future摂取 |
Threat Intelligenceフィードの健全性と運用ステータスを監視するための専用ダッシュボード。インジケーターの総数、時間の経過に伴う取り込み、 タイプ別の内訳などが含まれます。 |
Recorded Future |
セキュリティ ログ データとの一致を追跡し、一致の合計数、リスク スコア分布による一致、環境内で見つかった悪意のある上位の IP とドメインの一覧を表示するコア セキュリティ ダッシュボード。 | |
| 検知ルール (YARA-L) | rf_domain_correlation |
Recorded Futureリスクリスト」の悪意のあるドメインを内部ネットワーク トラフィック ログと相関させます。 |
rf_hash_correlation |
リスク リストの悪意のあるファイル ハッシュ (SHA256) を、エンドポイント ログ、Windows イベント、脆弱性スキャン ログなどのイベント タイプと相関させます。 | |
rf_ip_相関 |
Recorded Futureリスクリスト」の悪意のある IP を内部ネットワーク接続ログと相関させます。 | |
rf_url_相関 |
Recorded Futureリスクリスト」の悪意のある URL をネットワーク HTTP ログと相関させます。 |
SOAR (自動化および応答) アセット
| 資産タイプ | 資産名 | 集中 |
|---|---|---|
| アクション | IOC を充実させ、CVE を充実させ、アナリストノートを追加 | プレイブックまたは SOAR ワークベンチから直接、観測可能なデータをオンデマンドで強化し、セキュリティ ケースを管理するための 12 を超えるアクション。 |
| コネクタ | Recorded Future - セキュリティ - アラート コネクタ | プレイブック アラートをRecorded Futureプラットフォームから直接 SOAR ケースに取り込み、すべてのカスタム プレイブックのトリガーとして機能します。 |
| プレイブック | リフレッシュRFコードリポジトリの漏洩 |
公開された企業コード、認証情報、およびパブリック コード リポジトリ上の構成ファイルに関連するアラートの強化および評価プロセスを自動化します。 |
RFサイバーVulnerabilityの更新 |
活発に議論されているサイバー脆弱性 (CVE) に関連するアラートの拡充とトリアージのプロセスを自動化し、影響を受ける製品と関連する Insikt Notes の詳細を提供します。 | |
リフレッシュRFドメインの不正使用 |
企業のブランドや資産に対する悪意のあるドメインの不正使用に関連するアラートの拡充、DNS ルックアップ、WHOIS データの取得を自動化します。 | |
RF Identity露出を更新する |
新しいアイデンティティの暴露と情報漏洩/侵入認証情報の強化と調査を自動化し、マルウェア、ホスト、およびダンプ情報に関するコンテキストを提供します。 | |
RFサードパーティリスクの更新 |
企業およびリスクスコアに関するアラートを含む、サードパーティサプライチェーンリスクに関連するアラートの強化およびトリアージプロセスを自動化します。 |
統合と取り込みのベストプラクティス
統合プロセスには、SIEM コンポーネント (継続的なデータ取り込み用) と SOAR コンポーネント (自動強化と応答用) の両方のセットアップが含まれます。
1. SIEM統合( Threat Intelligence取り込み)
目標は、最新の実用的なThreat Intelligence Google SecOps SIEM に提供し、管理することです。
-
ベストプラクティス:
- 取り込みプロセスは実行するようにスケジュールする必要があります 少なくとも毎日 IoC データが最新であることを確認するため。
-
提供されたカスタムパーサー(
standard_risklist.conf) しなければならない 取り込まれたデータを正しく解釈し、UDM フィールドにマッピングするには、Google SecOps コンソールにインストールする必要があります。
-
高レベルのインストール手順: セットアップには、取り込みスクリプト用の Google Cloud Run および Cloud Scheduler リソースのデプロイと、Google SecOps コンソールへのカスタム パーサーと YARA-L ルールのインストールが含まれます。
- 完全な展開の詳細については、GitHub リポジトリを参照してください。 RecordedFuture GSecOps SIEM 統合
2. SOARの統合(自動化と強化)
目標は、アナリストがアラートを強化し、SOAR プラットフォーム内で直接応答ワークフローを自動化できるようにすることです。
- ベストプラクティス: SOAR プレイブックは、 Recorded Futureプラットフォームからの最新情報でケースを自動的に更新し、手動調査時間を大幅に短縮し、トリアージ手順の一貫性を確保します。
-
高レベルのインストール手順: 統合はGoogle SecOps Marketplaceから直接インストールされます。認証はユーザー固有の認証方式で行われます。 APIキー Recorded Future コンソールで生成されます。
- 完全な構成の詳細については、Google Cloud のドキュメントを参照してください。 Recorded Future SOAR 統合
サポート
インストール プロセス中にさらに質問や追加のサポートが必要な場合は、Recorded Future サポート(support@recordedfuture.com ) にお問い合わせください。