Recorded FutureとSplunkの統合

更新

 

概要

セキュリティ運用チームは、Splunk Enterprise と Enterprise Security を活用して、実用的なインテリジェンスと大規模な高度なストリーミング分析により、複雑な脅威を検出します。Recorded Futureのオープン、ダークウェブ、技術情報ソースからのインテリジェンスと Splunk の強力な分析を組み合わせることで、この脅威データが Splunk 環境に自動的に配置されるようになり、アナリストが関連データを確認し、ツールを切り替える必要性が最小限に抑えられるため、セキュリティ リスクが軽減されます。 これにより、アナリストはアラートをより迅速に識別してトリアージし、脅威をプロアクティブにブロックできるようになり、ビジネスに対するリスクを特定してアナリストの効率を向上させることができます。

Splunk アプリの Recorded Future は、さまざまな分野で役立ちます。

  • エンリッチメント
    • Recorded Future for Splunk アプリで IOC (IP、ドメイン、ハッシュ、脆弱性) を強化します。興味のあるIOCに関する豊富なコンテキストを調べて確認する
  • 相関関係
    • 顧客のログ データを、IP、ドメイン、ハッシュ、URL に関する Recorded Future の脅威リストと比較して、生データの海に埋もれた脅威を表面化させます。相関ダッシュボードを作成して、リスク指標の数、関連するリスク メトリック、および最終確認のタイムスタンプを表示します。
    • ターゲットを絞った相関ダッシュボード:デフォルトのリスク リストを使用する場合と比較して、Recorded Future for Splunk を使用する場合に、エンド ユーザーにさらにカスタマイズされたエクスペリエンスを提供します。
  • Recorded Futureによるアラートのトリアージ
    • プラットフォームで設定されている特定のRecorded Futureアラートを Splunk アラート ダッシュボードに取り込んで、トリアージと修復 / 復旧 / 改善を容易にします。
  • Recorded Future Collective Insights
    • Recorded Future Collective Insights は新しいタイプの分析であり、組織にとって重要な脅威の全体像をクライアントに提供します。Recorded Futureは、それらの犯罪を裏付けとなる文脈とともに考察し、新たな新たな視点に対する完全な視点を提供します。 Collective Insights 、すべてのクライアント統合にわたる監視を集約して、すべての監視の傾向を表示することができます。これにより、TI およびSecOpsユーザーは、ネットワーク全体でどの監視とTTPsが最も一般的であるかに基づいて優先順位を付けてクライアント ネットワークをより適切に防止し、保護することができます。

 

Recorded Future充実
エンリッチメントダッシュボードは、注目すべきイベントやインシデントのレビューに脅威インテリジェンスのコンテキストを提供します。各ダッシュボードは、指定されたIPアドレス、ドメイン、ハッシュ、URL、 Vulnerability ( Vulnerabilityモジュールが必要!)、およびマルウェアについて、最新のRecorded Future Intelligence Cardを取得します。

エンリッチメント ダッシュボードには次の内容が表示されます。

    • リスクスコアと証拠
    • レポートの概要タイムライン
    • Recorded Futureにおける関連エンティティ
    • 注目の情報源からの最近のレポート

Intelligence Cardリンクを使用して、 Recorded Futureをドリルダウンしてさらに詳しく調査します。

mceclip1.png

 

Recorded Future相関関係

相関ダッシュボードを使用するとRecorded Futureリスク リストのスコアと証拠の隣に Splunk イベントを同時に表示し、 Recorded Futureリスク リストのスコアを使用してさらに検討するために優先順位を付けるイベントを同時に表示できます。

相関関係は Splunk の重要なユースケースの 1 つです。 当社のすぐに使用できる実装は、デモ データと相関するように構成されています。指標の顧客フィードと相関させるには、設定の変更が必要です。 さらに、多くの場合、お客様は独自の既存の相関ダッシュボードを持っており、それらのダッシュボードに当社の相関機能を組み込むことを希望する場合があります。このデモでは、初期の可能性を示します。当社のプロフェッショナルサービスチームは、お客様と協力して、セキュリティアーキテクチャに最適な方法で相関関係が実装されるようにします。

 

mceclip2.png

 

ターゲット相関ダッシュボード

(Recorded Future for Splunk v2.0+ 限定)

Recorded Future for Splunk v2.0 は、特定のThreat Intelligenceユースケースを対象とした相関ダッシュボードをセットアップする簡単な方法を提供します。 これにより、デフォルトのリスク リストを使用する場合と比較して、Recorded Future for Splunk を使用するときに、エンド ユーザーに、よりカスタマイズされたエクスペリエンスが提供されます。当社は、IP、ハッシュ、ドメイン、URL、脆弱性の 5 つの IOC タイプを対象とした相関ダッシュボードをサポートしています。Recorded Future for Splunk v2.0 で新しい相関ダッシュボードを作成するときに、ユースケースのリストが利用できるようになります。クライアントは、セキュリティ プロトコルに基づいて相関ダッシュボードを構築し、どの脅威リストが最も重要かを確認できます。

mceclip3.png

 

Recorded Future Collective Insights

Recorded Future Intelligence Cloud 機能は、Recorded Future for Splunk v2.1 以降を実行しているクライアントでのみご利用いただけます。

Splunk エンリッチメント ダッシュボードの Recorded Future が有効になり、履歴相関イベントを表示できるようになりました。エンリッチメント ダッシュボードにピボットするか、エンリッチメント ダッシュボードで IOC をアドホックに検索すると、新しいパネルが利用可能になります。このパネルには、その IOC のすべての履歴相関が、タイムスタンプと関連する「ユースケース」( Recorded Futureリスクリスト名)とともに表示されます。 これにより、アナリストは、調査を行うときにゼロから始めるのではなく、環境に関連する IOC の歴史的コンテキストが得られ、SIEM アラートを優先順位を付けるのに役立つ別のデータ ポイントが得られます。 IOC が関連付けられたユースケースは、歴史的に何かが引き起こされた「なぜ」という問いに答えるのに役立ちます。

mceclip0.png

Recorded Futureシグマルールの侵害
( Recorded Future for Splunk v2.1.1+ 限定)

Sigma Rules の展開は、特に成熟度の低いクライアントの場合、面倒なプロセスになる可能性があります。 Splunk v2.1 は、対象を絞った防御のために Splunk に Sigma ルールを導入するプロセスを合理化します。シグマ検知は、クライアントが苦痛のピラミッドを登るのに役立ちます。また、 Recorded Future for Splunk のガイド付きシグマ ルール設定により、エンド ユーザーは、インシデント対応の一環として、価値の高い検知に関連するルールを導入する簡単な方法を提供します。

シグマ.gif

 

 

 トレーニング利用可能

Sigma Rules と、それを Recorded Future Splunk アプリ内に展開する方法について学習するには、Recorded Future University のこのコースをご覧ください。

Recorded Future
 ( Recorded Future for Splunk v2.0+ 限定)

Recorded Future for Splunk v2.0+ は、プラットフォームで設定されている特定のRecorded Futureアラートを Splunk アラート ダッシュボードに取り込み、トリアージや修復 / 復旧 / 改善を容易にする簡単な方法を提供します。 Recorded Futureアラートの詳細は、アプリの v2.1.1 に含まれています。また、アラート ステータスを更新し、 Recorded Futureエンタープライズと同期されるアラート メモをRecorded Futureアラートに追加することもできます。

**注: まず、Record Future エンタープライズでアラートを設定する必要があります。クライアントの Recorded Future エンタープライズ内のすべてのアクティブなアラートを Splunk に取り込むことができます**

 

アラート.gif

 

 

注:Recorded Future for Splunk v1.xxは1月末(1月31日)にサポートを終了いたします。これは、当社の優秀な統合チームが最新のアプリバージョンをサポートし、革新を続けていくためです。サポート終了とはどういう意味ですか? v1.xxは引き続きRecorded Future for SplunkのSplunkbaseリストに掲載されますが、Recorded Future for Splunk v1.xxアプリバージョンの新規開発は行われません。v1.xxバージョンのアプリにバグが報告された場合、お客様はv2.xバージョンへのアップグレードをご案内いたします。

 

 

This content is confidential. Do not distribute or download content in a manner that violates your Recorded Future license agreement. Sharing this content outside of licensed Recorded Future users constitutes a breach of the terms and/or agreement and shall be considered a breach by your organization.
この記事は役に立ちましたか?
1人中1人がこの記事が役に立ったと言っています

このセクションの記事

もっと見る