はじめに - Splunk Enterprise/Enterprise Security

更新

概要

Splunk 用の Recorded Future App は、Recorded Future のインテリジェンスを Splunk Enterprise および Splunk Enterprise Security に直接統合します。これにより、セキュリティ チームは次のことが可能になります。

  • Recorded Future リスクリストを使用して高リスク指標を検出する
  • リアルタイムの脅威インテリジェンスでイベントと調査を充実させる
  • 脅威のハンティングと摘発を大規模に運用可能にする
  • インテリジェンス主導の検索を使用して調査ワークフローを自動化する

前提条件

始める前に、次の点を確認してください。

  • Splunk Enterprise または Splunk Cloud(検索ヘッド アクセス付き)(クラスター展開の場合)
  • Splunk の管理者または同等の権限
  • Splunk の有効な Recorded Future API トークン
  • 自律Threat操作アドオン(カスタム指標データセットの検出/ハンティング)

アプリをインストールする

Splunkbaseからインストール

  1. Splunk で、 「アプリ」→「その他のアプリを検索」に移動します。
  2. Splunk 用の Recorded Future Appを検索します。
  3. [インストール] (またはアップグレードの場合は[更新]) をクリックし、ライセンス条項に同意します。
  4. プロンプトが表示されたら Splunk を再起動します。

インストール後のセットアップ

  1. インストール後に「セットアップ」をクリックします。
  2. Recorded Future API トークンを入力します。
  3. API 接続を確認します。
  4. ステータスが「 Verified 」になっていることを確認します。

初期設定

インストール後、検知とエンリッチメントを強化するコア コンポーネントを構成します。

一般設定

構成 → 設定 → 一般に移動します:

  • API URLとトークンを確認する
  • 必要に応じてプロキシ設定を構成する
  • API接続が成功したことを確認する

デフォルトの指標検索

構成 → 設定 → デフォルトのインジケーター検索に移動します。

  • Splunk ログで Recorded Future 指標を検索する方法を設定する
  • IP、ドメイン、URL、ハッシュ、脆弱性のインデックス、ソースタイプ、イベント フィールドを定義します。
  • 各インジケータタイプの設定を保存する

これらの検索は、自動化された脅威ハンティングおよび自律的なThreat操作の基礎となります。

コア機能

抗議 (相関関係)

このアプリは、Splunk イベントを Recorded Future のリスク リストと関連付けて、悪意のあるアクティビティを識別します。

  • IP、ドメイン、URL、ハッシュ、脆弱性
  • 状況に応じたリスクスコアリングによるほぼリアルタイムの検知
  • Splunk Enterprise Securityおよびリスクベースアラートとのオプションの統合

IoCのエンリッチメント

検索結果、ダッシュボード、アラートから、次の情報を使用してインジケーターを強化できます。

  • リスクスコアとトリガーされたリスクルール
  • MITRE ATT&CKマッピング
  • アナリストのメモと参考文献

エンリッチメントはダッシュボードとrfenrich検索コマンドを通じて利用できます。

- アラートおよびアラート センター

  • Recorded Future Classic および Playbook アラートを Splunk で直接表示
  • アラートのステータスを管理する(新規、進行中、解決済み)
  • アラートセンターを通じて集中管理されたトリアージ

Autonomous Threat Operations

Autonomous Threat Operations (ATO) により、 Recorded Futureインテリジェンスが Splunk 内で脅威のハンティングと警戒のワークフローをRecorded Future内から自動的に実行できるようになり、手作業の労力が軽減され、対応が加速されます。

自律的なThreat対策の実現

自律Threat操作を有効にするには:

  1. デフォルトのインジケーター検索が構成されていることを確認します。
  2. Recorded Futureにおける自律的Threatオペレーションへのナビゲート
  3. Splunkのこのインスタンスで、事前に選択したデータセットのインジケーターベースの検出とハントを起動します。

デプロイメントの検証

設定後、セットアップを検証します。

  1. [構成] → [設定] → [トラブルシューティング]に移動します。
  2. アプリのデプロイメントの検証を実行します。
  3. API 接続、リスク リストの更新、スケジュールされた検索を確認します。

さらに詳しい情報

追加のドキュメントとサポートについては、以下を参照してください。

  • Recorded Future サポートポータル
  • アプリ内のトラブルシューティングとログ
  • Recorded Futureサポート(support@recordedfuture.com )にお問い合わせください。

これで、Splunk で Recorded Future インテリジェンスを運用化し、Autonomous Threat Operations を活用して進化する脅威に先手を打つ準備が整いました。

 

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る