はじめに

VMWare Carbon Black Endpoint (以下、「Carbon Black」といいます) は、数十億のシステム イベントを分析して環境内の正常な状態を把握し、攻撃者が正当なツールを悪用するのを防ぎ、調査ワークフローを自動化して効率的に対応することで、攻撃を阻止します。

この拡張機能を使用すると、Carbon Black 対応エンドポイントで、 Intelligence Cardインジケーターに固有のアクティビティの最近のイベントを検索できます。 拡張機能は、IP、ドメイン、ハッシュのIntelligence Cardで利用できます。

ユースケース

アラートトリアージ

Recorded Future Intelligence Cardネットワークに対する潜在的な脅威に関するコンテキストを提供します。 Carbon Black のIntelligence Card Extension は、外部のThreat Intelligenceと内部のテレメトリを統合し、迅速かつ情報に基づいた意思決定を可能にします。 Carbon Black エンドポイント内に IP、ドメイン、またはハッシュへの参照がある場合は、過去 7 日間の最新の30 件のイベントが拡張機能に返されます。たとえば、潜在的に悪意のある IP を調べているとします。同じ IP への接続イベントが多数見られる場合、警戒する必要がある可能性があります。この拡張機能を使用すると、どのホストが IP に接続しているかを確認して、これが 1 つのホストの問題である可能性が高いか、または 1 つ以上のホストが接続するより広範囲にわたる問題が発生しているように見えるかを識別できます。さらに調査を進めるかどうかを迅速に決定するのに十分な詳細を提供することが目的です。

Threat

Recorded Future Intelligence Cardネットワークに対する潜在的な脅威に関するコンテキストを提供します。 組織内の IP、ドメイン、またはハッシュへの参照がある場合は、最新の 30 件のイベントが拡張機能に返されます。これにより、さらに調査したい場合に意思決定を容易にするのに十分なコンテキストが提供されます。

以下は、8.8.8.8 の IP Intelligence カードからの応答の例です。

...

過去 7 日間、IOC がどのイベントにも出演しなかった場合の対応例:

設定

拡張機能を使用できるように設定するには、ユーザーが Recorded Future の管理者として指定され、メイン ポータル メニューの「ツール」セクションにある「拡張機能」オプションにアクセスできる必要があります。Carbon Black では、拡張機能を有効にするために次の 4 つの情報が必要になります。

• API_ID
• API_シークレットキー
• 組織ID
• 組織キー

以下は Carbon Black 確認ページのスクリーンショットです。

Carbon Black Cloud インスタンスに必要な特定の権限は次のとおりです。変更は「アクセス レベル」タブで行う必要があることに注意してください。

• - アラート API: org.アラート READ 

• 検索API: org.search.events CREATE READ

1.設定/APIアクセス/アクセスレベルに移動し、アクセスレベルの追加をクリックして、権限を設定します。

2. 「設定 / API アクセス / API キー」に移動し、 「API キーの追加」をクリックし、「アクセス レベル タイプ」で「カスタム」をクリックします。次に、 [カスタム アクセス レベル]で、作成した新しいアクセス レベルをポイントします。