概要
Recorded Future for Splunk SOAR は、セキュリティ自動化およびオーケストレーション製品です。統合の目的は、 Recorded FutureのThreat Intelligenceデータを Splunk SOAR のプレイブックで利用できるようにすることです。
Recorded Future の自動化エキスパートが作成したプレイブックは、テンプレート ライブラリ ページからアクセスできます。
要件
Splunk SOAR 統合の Recorded Future は、tarball ファイルとして提供されます。このアプリはSplunkbaseから入手できます。
このアプリを使用するには、 SecOps IntelligenceモジュールまたはThreat Intelligenceモジュールと、 Recorded Future for Splunk SOAR API トークンを購入する必要があります。
Recorded Future for Splunk SOAR v2.x から Recorded Future for Splunk SOAR v3.xx にアップグレードする場合は、新しい Recorded Future API トークンが必要になります。Splunk SOAR トークンの Recorded Future トークンを取得するには、Splunk SOAR の新しい統合 API トークンを要求する次の Recorded Futureサポート フォームに記入してください。
統合のインストールと設定
Recorded Future からアプリの tarball (tgz ファイル) と API トークンを受け取ったら、次のようにアプリをインストールして構成します。
- アプリのtarballをダウンロードなどのローカルでアクセス可能なフォルダに配置します。
- Phantom Cyberに管理者としてログインする
- 管理>アプリに移動します
- +アプリボタンをクリック
- tarballファイルを見つけて「インストール」をクリックします
- 管理>資産に移動します
- +アセットボタンをクリック
- 新しいアセットに「Recorded Future API」などの名前を付けます。
- ベンダーおよび製品として「Recorded Future」を選択します。
- アセット設定タブに移動します
- Recorded Future APIトークンを入力してください
- 資産を保存する
- 接続テストを実行する
ドキュメントはアプリに同梱されています。このドキュメントを見つけるには、メニューの「アプリ」に移動し、「Recorded Future」アプリを見つけます。バージョン番号の横に「ドキュメント」へのリンクがあります。
Splunk SOAR v4.3 の Recorded Future に追加されました
-
アクション
- リンク検索: Recorded Future データセット内のリンク データを検索します。
- 検知ルール検索: 提供されたエンティティのシステムに検知ルール (yara、sigma、Snort) をダウンロードします。
- 脅威アクターインテリジェンス: 脅威アクターのインテリジェンスデータを取得する
- 脅威マップ: Recorded Futureから脅威マップを入手
- Playbook アラートを記録された将来から Splunk SOAR にポーリングする方法を変更します。最初のポーリングでは作成日を使用してアラートをポーリングし、次のポーリングでは前回のポーリングから現在のポーリングまでの期間中に更新されたアラートをすべてポーリングします。
- これで、インテリジェンスコマンドはエラー NotFound で失敗することはなくなり、記録された将来にそのエンティティのデータがないというメッセージで正常に終了します。
- code_repo_leakage タイプのプレイブックアラートを追加しました
- Recorded Future AIインサイトがインテリジェンスおよびアラート ルックアップの結果に追加されました
- プレイブック
Splunk SOAR v4.2 の Recorded Future に追加されました
- アクション
- リスト検索:クエリに基づいてリストを検索する
- リストにエンティティを追加:リストに新しいエンティティを追加します
- リストのエンティティを削除:リストからエンティティを削除します
- リストの詳細:リストの詳細を取得する
- リストステータス:リストステータス情報を取得する
- リストエンティティ:リストエンティティを取得する
- プレイブックアラート検索:プレイブックアラートを検索
- プレイブックアラートの更新:プレイブックアラートの更新
- プレイブックアラートの詳細:プレイブックアラートの詳細を取得する
- アラート更新: alert_id で指定されたアラートのステータスやメモを更新します。
- アラート検索:アラート ルール ID と時間範囲によって、 Recorded Futureによって設定および生成されたアラートの詳細を取得します
- プレイブック
サポートされているアクション (v4.0)
-
アクション
- 接続テスト: 資産構成の接続性を検証する
- アラート データ ルックアップ: アラート ルール ID および/または時間範囲によって、 Recorded Futureによって設定および生成されたアラートの詳細を取得します
- アラートルールの検索: アラートルールIDを名前で検索
- URLインテリジェンス: URLのThreat Intelligenceを取得する
- URLの評判: URLに関連するリスクの簡単な指標を取得します
- 脆弱性インテリジェンス: 脆弱性に関するThreat Intelligenceを入手
- 脆弱性の評判: 脆弱性に関連するリスクの簡単な指標を取得します
- ファイルインテリジェンス: ハッシュで識別されるファイルのThreat Intelligenceを取得します
- ファイルの評判: ハッシュで識別されたファイルに関連するリスクの簡単な指標を取得します
- ドメインインテリジェンス: ドメインのThreat Intelligenceを取得する
- ドメインの評判: ドメインに関連するリスクを素早く把握できます
- IPインテリジェンス: IPアドレスのThreat Intelligenceを取得する
- ip 評判: IPアドレスに関連するリスクの簡単な指標を取得します
- 脅威評価: 状況に基づいてリスクの指標を取得する
- コンテキストの一覧: 脅威トリアージで使用できる可能性のあるコンテキストの一覧を取得します。
- alert_lookup: 単一のRecorded Futureアラートの詳細を取得します
- alert_update: 単一のRecorded Futureアラートのステータスまたはアラートメモを更新します。
- アラートをダウンロードするためのOn_poll機能
- アクションをより適切に説明するために、alert_rule_lookup の名前が alert_rule_search に変更されました。
- アクションをより適切に説明するために、alert_data_lookup の名前が alert_search に変更されました。
- 関連するアクションを見つけるためにアラートウィジェット内のエンティティのタグ付けを改善しました
各アクションはRecorded FutureのIntelligence Cardに対応します。 このアクションは、入力値の現在のThreat Intelligence情報を取得し、その情報を Splunk Phantom に返します。 詳細な脅威データは JSON 辞書として返され、選択されたデータ値が Phantom アクション結果テーブルで強調表示されます。