概要
Recorded Future for XSOAR には、Recorded Future for XSOAR Intelligence、Recorded Future for XSOAR Feeds、Recorded Future Identity for XSOAR の 3 つの異なるアプリ (パック) が用意されています。各アプリが機能するには、Recorded Future からの特定の API トークンが必要です。以下に各アプリ(パック)の主な機能について説明します。
Recorded Futureの自動化専門家が作成したプレイブックは、テンプレートライブラリページからアクセスできます。
XSOARインテリジェンスのRecorded Future
この PAN コンテンツ パックには、 Recorded Future v2、 Recorded Future - リスト、およびRecorded Future - Playbook - アラートの 3 つの統合が含まれています。
Recorded Future v2は、IP、ドメイン、URL、CVE、およびファイルを拡充し、特定のコンテキストに関する脅威を評価するために使用されます。この統合に関連するコンテンツには、次のコマンドが含まれます。
- 評判検索: URL、CVE、ハッシュ ドメイン、URL、脆弱性について、 Recorded Futureから IOC 評判データを検索します (注: 脆弱性検索にはVulnerabilityモジュールが必要です)
- インテリジェンスアクション: Recorded Futureインテリジェンスをすべて取得する
- 以下を含むRecorded Future - アラートを取得します。
- Recorded Future Enterpriseで定義されたアラートのリスト
- 1 つ以上の Recorded Future アラート ルールのアラート概要
- 単一アラートの完全にRecorded Futureアラートの詳細
- Recorded Futureアラートのステータスを変更する
- Recorded Futureの単一のアラートにメモを追加する
Recorded Future - リストは、リストを検索する機能とともに、リストからエンティティを追加/検索/削除するために使用されます。 この統合に関連するコンテンツには、次のコマンドが含まれます。
- 記録された未来リスト-追加エンティティ
- リストにエンティティを追加する
- カンマで区切られた個別のエンティティ
- 記録された未来リストエンティティ
- 指定されたリストに現在含まれるエンティティを取得します
- 記録された未来リストの削除エンティティ
- リストからエンティティを削除する
- カンマで区切られた個別のエンティティ
- 記録された未来リスト検索
- Recorded Futureのリストを検索
Recorded Future Playbook - アラート統合は、XSOAR でRecorded Future Playbook - アラートを取得およびトリアージするために使用されます。この統合は、クライアントが XSOAR でトリアージしたい、 Recorded Future Enterprise に設定されたプレイブック アラートがある場合にセットアップする必要があります。この統合のためのコマンドには次のものが含まれます。
- 記録された未来のプレイブックアラートの詳細
- 特定の Recorded Future プレイブックアラートの詳細を表示する
- ID でプレイブックのアラートの詳細を取得する
- 記録された未来のプレイブックアラートの更新
- 1つまたは複数のプレイブックアラートのステータスを更新する
- 記録された未来のプレイブックアラート検索
- Recorded Future エンタープライズで設定されている Recorded Future プレイブック アラートのうち、XSOAR に取り込まれるものを表示します。
- フィルターに基づいてプレイブックアラートを検索する
XSOAR のRecorded Future Collective Insights
Recorded Future Intelligence Cloud 機能は、Recorded Future Intelligence for XSOAR v2.4 以降を実行しているクライアントでのみ利用可能です。
Collective Insights は、XSOAR 統合用の Recorded Future Intelligence アプリのインスタンスを設定するときに有効にできます。集合的な洞察の設定を「オン」に設定する必要があります。この設定は、XSOAR アプリの Recorded Future Intelligence を設定するときに見つかります。プレイブック内の Recorded Future の「インテリジェンス」コマンドを使用して強化された IOC はすべて、クライアントの Collective Insights の一部となり、SecOps ダッシュボードに入力するために使用されます。
XSOAR IntelligenceのRecorded Future:マーケットプレイス掲載
XSOARフィードのRecorded Future
このアプリは、 Recorded Future仮想リストにアクセスするために使用されます。 Recorded Future脅威は、IP、ハッシュ、ドメイン、URL、脆弱性( (注:脆弱性リスクリストにはVulnerabilityモジュールが必要です))に基づいて構築されています。Recorded Recorded Futureリスクリストの詳細については、こちらをご覧ください。
注: Recorded Future for XSOAR Feeds アプリを使用するには、PAN TIM ライセンスが必要です。
XSOARフィードアプリのRecorded Future:マーケットプレイス掲載
XSOAR のRecorded Future Identity
XSOAR のIdentityのRecorded Futureにより、セキュリティ チームと IT チームは従業員と顧客の両方の ID 情報漏洩 / 侵入を検出し、自信を持って対応できるようになります。 Recorded Futureの XSOAR 統合は、ID 情報漏洩 / 侵入を継続的に監視し、組織のドメインと一致する情報のみを取り込みます。
統合方法を説明したビデオをご覧ください。
XSOAR の Recorded Future Identity には、次の 3 つのコマンドがあります。
- recordsedfuture-identity-search - あなたの会社に関連するメールアドレスを探しています
- Recordedfuture-identity-lookup - 漏洩した特定の認証情報の詳細を取得します
- recordsedfuture-password-lookup - パスワードが一般的に使用されているかどうかを確認します。これは、完全なパスワード ハッシュ、またはハッシュのプレフィックス (つまり、ハッシュの最初の数文字からハッシュ全体の長さまで) のみで機能することに注意してください。注: ハッシュの最初の 6 文字以上を使用することをお勧めします。そうしないと、検索の精度は保証されません。
統合アプリには、最も一般的なユースケース (従業員の情報漏洩 / 侵入の監視、顧客のログインが情報漏洩 / 侵入であるかどうかの判断、修復 / 復旧 / 改善をフォローアップするためのインシデントの作成) のテンプレートとして使用できるいくつかのプレイブックもバンドルされています。
XSOAR の Recorded Future Identity:マーケットプレイス掲載
統合自体に関する詳細なドキュメントは、このリンクから入手できます。
システム要件
Recorded Future for XSOAR v1.xx または Demisto の任意のバージョンから Recorded Future for XSOAR v2.xx にアップグレードする場合は、新しい Recorded Future API トークンが必要になります。XSOAR トークンの Recorded Future トークンを取得するには、XSOAR の新しい統合 API トークンを要求する次の Recorded Futureサポート フォームに記入してください。