Recorded Future
統合バージョン: 16.0
ユースケース
- 脆弱性の優先順位付け。
- 脅威インジケーターの調査、拡充、対応。
Google Security Operations と連携するように Recorded Future を構成する
プロダクトの権限
API トークンは認証に使用され、ユーザー固有で、ユーザーのエンタープライズ デプロイに関連付けられています。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apitoken |
Google SecOps で Recorded Future の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API URL | Sring | https://api.recordedfuture.com | はい | Recorded Future インスタンスのアドレス。 |
| API キー | 文字列 | なし | はい | Recorded Future のコンソールで生成されます。 |
| SSL を確認する | チェックボックス | オフ | いいえ | Recorded Future 接続で SSL の検証が必要な場合は、このチェックボックスをオンにします。 |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
操作
IOC を拡充する
説明
Google SecOps から、異なるタイプの複数のエンティティに関する情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リスクスコアのしきい値 | Integer | 25 | はい | 各エンティティが不審とマークされる最小の悪意のあるリスクスコアを表します。 |
実行
アクションは、次の各エンティティを取得し、記録された将来のエンリッチメントに送信する必要があります。
- IP アドレス
- URL
- Filehash
- CVE
- DOomain
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ソース(JSON キー) | ロジック - 適用するタイミング |
|---|---|---|
| isSuspicious | しきい値パラメータを超えた場合 | JSON で利用可能な場合 |
| RF_id | Results[ ].Entity.id | JSON で利用可能な場合 |
| RF_name | Results[ ].Entity.name | JSON で利用可能な場合 |
| RF_type | Results[ ].Entity.type | JSON で利用可能な場合 |
| RF_descrription | Results[ ].Entity.description | JSON で利用可能な場合 |
| RF_risk_level | Results[ ].Risk.level | JSON で利用可能な場合 |
| RF_risk_score | Results[ ].Risk.score | JSON で利用可能な場合 |
| RF_number_of_matched_rules | Results[ ].Risk.Rule.count | JSON で利用可能な場合 |
| RF_most_critical_rule | Results[ ].Risk.Rule.mostCritical | JSON で利用可能な場合 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"results": [
{
"entity": {
"id": "J_IWqd",
"name": "CVE-2012-1723",
"type": "CyberVulnerability",
"description": "Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 update 4 and earlier, 6 update 32 and earlier, 5 update 35 and earlier, and 1.4.2_37 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors related to Hotspot."
},
"risk": {
"level": 5.0,
"rule": {
"count": 9,
"mostCritical": "Exploited in the Wild by Recently Active Malware",
"maxCount": 22,
"evidence": {
"linkedToCyberExploit": {
"count": 55.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "2682 sightings on 55 sources including: Guided Collection, fakegogle.blogspot.com, netdna-cdn.com, GitHub, Ver007 APT Tools. Most recent tweet: KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Linked to Historical Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"recentMalwareActivity": {
"count": 1.0,
"timestamp": "2020-10-07T00:00:00.000Z",
"description": "66 sightings on 1 source: Recorded Future Malware Hunting. Activity seen on 12 out of the last 28 days with 255 all-time daily sightings. Exploited in the wild by 11 malware families including <e id=LXUcJk>ExpJava</e>, <e id=K05qo4>JavaKC</e>, <e id=KeKuaF>Maljava</e>. Last observed on Oct 7, 2020. Sample hash: <e id=hash:7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4>7c0ed2b98af4076c64ec84f7ea38b05ea2432ec0337b963756ffced54a6f69c4</e>.",
"rule": "Exploited in the Wild by Recently Active Malware",
"mitigation": "",
"level": 5.0
},
"linkedToRAT": {
"count": 26.0,
"timestamp": "2020-08-03T00:00:00.000Z",
"description": "174 sightings on 26 sources including: Guided Collection, GitHub, medium.com, MarketWatch, SYS-CON Media. 4 related malwares: Uroburos Rootkit, Blackhole, Icefog, Zeroaccess. Most recent link (Aug 3, 2020): https://reportcybercrime.com/the-epic-turla-snake-uroburos-attacks/",
"rule": "Historically Linked to Remote Access Trojan",
"mitigation": "",
"level": 1.0
},
"linkedToExploitKit": {
"count": 13.0,
"timestamp": "2019-07-30T01:01:59.793Z",
"description": "62 sightings on 13 sources including: Guided Collection, medium.com, GitHub, Avast Blog, TechNet Blogs. 12 related malwares including Nuclear Pack Exploit Kit, Blackhole, Angler Exploit Kit, Blacole, Egypack. Most recent link (Jul 30, 2019): http://blog.malwaremustdie.org/2012/09/monitoring-blackhole-exploit-kit.html",
"rule": "Historically Linked to Exploit Kit",
"mitigation": "",
"level": 1.0
},
"nistCritical": {
"count": 1.0,
"timestamp": "2020-10-01T03:03:20.930Z",
"description": "1 sighting on 1 source: Recorded Future Vulnerability Analysis. CVSS v2 Score (10) calculated using NIST reported CVSS Base Score (10) and Recorded Future Temporal Metrics. Base vector string: AV:N/AC:L/Au:N/C:C/I:C/A:C. Temporal vector string: E:H/RL:X/RC:C.",
"rule": "NIST Severity: Critical",
"mitigation": "",
"level": 4.0
},
"pocVerifiedRemote": {
"count": 1.0,
"timestamp": "2012-07-11T00:00:00.000Z",
"description": "1 sighting on 1 source: ExploitDB. 1 execution type: Remote. Most recent link (Jul 11, 2012): https://www.exploit-db.com/exploits/19717",
"rule": "Historical Verified Proof of Concept Available Using Remote Execution",
"mitigation": "",
"level": 2.0
},
"linkedToIntrusionMethod": {
"count": 9.0,
"timestamp": "2019-06-18T13:19:28.000Z",
"description": "140 sightings on 9 sources including: fakegogle.blogspot.com, Guided Collection, GitHub, McAfee, @xjfftw. 16 related malwares including BrobanDel, Fanny Worm, Ransomware, Banking Trojan, Artemis. Most recent tweet: @PortSwigger Was wondering if you knew why @Virustotal was flagging BS Pro on multiple AVs when scanning the unpacked JAR? KAV/Checkpoint CVE-2012-1723 Generic Exploit Kit. Most recent link (Jun 18, 2019): https://twitter.com/EskimoTrolled/statuses/1140972295894249472",
"rule": "Historically Linked to Malware",
"mitigation": "",
"level": 1.0
},
"linkedToRecentCyberExploit": {
"count": 1.0,
"timestamp": "2020-10-05T17:19:29.000Z",
"description": "35 sightings on 1 source: VirusTotal. Most recent link (Oct 5, 2020): https://www.virustotal.com/gui/file/1a3fa1cac28dffe79752df9bc92932d8b40b6d562d98e3315af7875d2f944edf/",
"rule": "Linked to Recent Cyber Exploit",
"mitigation": "",
"level": 1.0
},
"scannerUptake": {
"count": 5.0,
"timestamp": "2019-10-01T02:58:24.000Z",
"description": "29 sightings on 5 sources: Guided Collection, GitHub, VirusTotal, ReversingLabs, PasteBin. Most recent link (Oct 1, 2019): https://www.virustotal.com/gui/file/911c69c02f5194ccbb5703869c4478e7ff68232ebb78affe98cb86de5b146b20",
"rule": "Historically Linked to Penetration Testing Tools",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 90.0
},
"public": {
"rule": {
"maxCount": 22
},
"summary": [
{
"count": 1.0,
"level": 2.0
},
{
"count": 1.0,
"level": 5.0
},
{
"count": 1.0,
"level": 4.0
},
{
"count": 6.0,
"level": 1.0
}
],
"mostCriticalRule": "Exploited in the Wild by Recently Active Malware",
"score": 99.0
}
},
"score": 99.0
}
},
{
"entity": {
"id": "url:http://www.plexipr.com/vAHzWX.php",
"name": "http://www.plexipr.com/vAHzWX.php",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:55:38.670Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-09-13T18:53:31.000Z",
"description": "9 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
},
{
"entity": {
"id": "hash:44d88612fea8a8f36de82e1278abb02f",
"name": "44d88612fea8a8f36de82e1278abb02f",
"type": "Hash"
},
"risk": {
"level": 3.0,
"rule": {
"count": 4,
"mostCritical": "Positive Malware Verdict",
"maxCount": 13,
"evidence": {
"linkedToVuln": {
"count": 1.0,
"timestamp": "2019-09-21T12:00:07.000Z",
"description": "1 sighting on 1 source: dfir.pro. 2 related cyber vulnerabilities: CVE-2018-11776, CWE-20. Most recent link (Sep 21, 2019): http://dfir.pro/index.php?link_id=98319",
"rule": "Linked to Vulnerability",
"mitigation": "",
"level": 2.0
},
"linkedToVector": {
"count": 2.0,
"timestamp": "2018-08-06T20:50:41.819Z",
"description": "3 sightings on 2 sources: PyPI Recent Updates, Malwr.com. 2 related attack vectors: ShellCode, Phishing. Most recent link (Aug 6, 2018): https://pypi.org/project/python-virustotal/0.0.1a0/",
"rule": "Linked to Attack Vector",
"mitigation": "",
"level": 2.0
},
"linkedToMalware": {
"count": 4.0,
"timestamp": "2020-10-02T14:11:26.000Z",
"description": "40 sightings on 4 sources: GitHub, PyPI Recent Updates, VirusTotal, Malwr.com. 3 related malwares: EICAR-AV-Test, Eicar_test_file, EICAR Test String. Most recent link (Oct 2, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f/",
"rule": "Linked to Malware",
"mitigation": "",
"level": 2.0
},
"positiveMalwareVerdict": {
"count": 4.0,
"timestamp": "2020-10-10T00:34:03.497Z",
"description": "21 sightings on 4 sources: VirusTotal, Malwr.com, ReversingLabs, PolySwarm. Most recent link (Apr 8, 2020): https://www.virustotal.com/gui/file/275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0f",
"rule": "Positive Malware Verdict",
"mitigation": "",
"level": 3.0
}
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 1,
"maxCount": 2
},
"score": 80.0
},
"public": {
"rule": {
"maxCount": 11
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 1.0,
"level": 3.0
}
],
"mostCriticalRule": "Positive Malware Verdict",
"score": 83.0
}
},
"score": 83.0
}
},
{
"entity": {
"id": "ip:66.240.205.34",
"name": "66.240.205.34",
"type": "IpAddress"
},
"risk": {
"level": 2.0,
"rule": {
"count": 13,
"mostCritical": "Recent Multicategory Blacklist",
"maxCount": 53,
"evidence": {
"cncServer": {
"count": 1.0,
"timestamp": "2020-09-23T01:46:30.620Z",
"description": "17 sightings on 1 source: GitHub. Most recent link (Jul 23, 2019): https://gist.github.com/techhelplist/2a208ae6fc9859f2ff3282d3ff893b46",
"rule": "Historical C&C Server",
"mitigation": "",
"level": 1.0
},
"recentMultiBlacklist": {
"count": 2.0,
"timestamp": "2020-10-08T01:30:47.833Z",
"description": "13 sightings on 2 sources: AbuseIP Database, AlienVault: IP Reputation Data. Most recent link (Oct 7, 2020): https://www.abuseipdb.com/check/66.240.205.34",
"rule": "Recent Multicategory Blacklist",
"mitigation": "",
"level": 2.0
},
"honeypot": {
"count": 8.0,
"timestamp": "2020-06-19T00:58:26.000Z",
"description": "979 sightings on 8 sources including: @atma_es, @WebironBots, @gosint2, @HoneyFog, @HoneyPyLog. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 19.06.2020 02:58:19. Most recent link (Jun 19, 2020): https://twitter.com/EIS_BFB/statuses/1273782158067404803",
"rule": "Historical Honeypot Sighting",
"mitigation": "",
"level": 1.0
},
"linkedIntrusion": {
"count": 4.0,
"timestamp": "2019-08-05T19:06:11.000Z",
"description": "37 sightings on 4 sources: GitHub, Recorded Future URL Analysis, ReversingLabs, @EIS_BFB. 5 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Brute Force Blocking (BFB), Cross site scripting, Trojan. Most recent tweet: BFB-attack detected from 66.240.205.34 to Portscan on 05.08.2019 21:06:05.",
"rule": "Historically Linked to Intrusion Method",
"mitigation": "",
"level": 1.0
},
"recentDhsAis": {
"count": 1.0,
"timestamp": "2020-10-09T12:44:44.895Z",
"description": "3 sightings on 1 source: DHS Automated Indicator Sharing. 3 reports including NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-00e3c8ca-0a3c-4a70-9edc-534ea7b51474 (Oct 9, 2020).",
"rule": "Recently Reported by DHS AIS",
"mitigation": "",
"level": 2.0
},
"linkedToCyberAttack": {
"count": 2.0,
"timestamp": "2019-06-15T09:01:52.000Z",
"description": "483 sightings on 2 sources: @HoneyPyLog, @EIS_BFB. Most recent tweet: honeydbz: #Citrix-ICA-Browser Possible Citrix-ICA-Browser attack from 66.240.205.34 https://t.co/Wpmfyo4di1. Most recent link (Jun 15, 2019): https://twitter.com/HoneyPyLog/statuses/1139820304996478976",
"rule": "Historically Linked to Cyber Attack",
"mitigation": "",
"level": 1.0
},
"dhsAis": {
"count": 1.0,
"timestamp": "2020-09-14T11:12:55.000Z",
"description": "22 sightings on 1 source: DHS Automated Indicator Sharing. 22 reports including NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d, from Infoblox Inc, Information Technology Sector, NCCIC:STIX_Package-427425f9-cd82-49bc-a4b4-c609aaeddd7d (Sep 14, 2020).",
"rule": "Historically Reported by DHS AIS",
"mitigation": "",
"level": 1.0
},
"recentLinkedIntrusion": {
"count": 1.0,
"timestamp": "2020-10-11T22:30:12.000Z",
"description": "14 sightings on 1 source: Recorded Future URL Analysis. 3 related intrusion methods: Browser Targeted Code Injection, Web Application Exploitation, Cross site scripting.",
"rule": "Recently Linked to Intrusion Method",
"mitigation": "",
"level": 2.0
},
"historicalThreatListMembership": {
"count": 2.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "Previous sightings on 2 sources: University of Science and Technology of China Black IP List, Project Turris Attempted Access Greylist. Observed between Jul 1, 2019, and Jan 28, 2020.",
"rule": "Historically Reported in Threat List",
"mitigation": "",
"level": 1.0
},
"rfTrending": {
"count": 1.0,
"timestamp": "2020-08-03T15:09:58.796Z",
"description": "1 sighting on 1 source: Recorded Future Analyst Community Trending Indicators. Recently viewed by many analysts in many organizations in the Recorded Future community.",
"rule": "Trending in Recorded Future Analyst Community",
"mitigation": "",
"level": 1.0
},
"maliciousPacketSource": {
"count": 1.0,
"timestamp": "2020-10-11T23:18:11.344Z",
"description": "1 sighting on 1 source: CINS: CI Army List.",
"rule": "Malicious Packet Source",
"mitigation": "",
"level": 2.0
},
"multiBlacklist": {
"count": 1.0,
"timestamp": "2017-04-28T10:00:20.345Z",
"description": "7 sightings on 1 source: AbuseIP Database. Most recent link (Apr 28, 2017): https://www.abuseipdb.com/check/66.240.205.34?page=10",
"rule": "Historical Multicategory Blacklist",
"mitigation": "",
"level": 1.0
},
"spam": {
"count": 1.0,
"timestamp": "2019-04-16T13:04:45.428Z",
"description": "284 sightings on 1 source: Daily Botnet Statistics. Most recent link (Apr 16, 2019): http://botnet-tracker.blogspot.com/2019/04/suspected-bot-list-2019-04-06.html",
"rule": "Historical Spam Source",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 4.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
]
},
"context": {
"public": {
"rule": {
"maxCount": 50
},
"summary": [
{
"count": 3.0,
"level": 2.0
},
{
"count": 9.0,
"level": 1.0
}
],
"mostCriticalRule": "Recent Multicategory Blacklist",
"score": 59.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 1,
"count": 0
}
}
},
"score": 59.0
}
},
{
"entity": {
"id": "idn:passbolt.siemplify.co",
"name": "passbolt.siemplify.co",
"type": "InternetDomainName"
},
"risk": {
"level": 0.0,
"rule": {
"count": 0,
"mostCritical": "",
"summary": [],
"maxCount": 47
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 2
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 41
},
"summary": [],
"mostCriticalRule": "",
"score": 0.0
},
"c2": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 2,
"count": 0
}
}
},
"score": 0.0
}
},
{
"entity": {
"id": "url:http://bolizarsospos.com/703hjdr3ez72",
"name": "http://bolizarsospos.com/703hjdr3ez72",
"type": "URL"
},
"risk": {
"level": 4.0,
"rule": {
"count": 3,
"mostCritical": "C&C URL",
"maxCount": 29,
"evidence": {
"cncUrl": {
"count": 1.0,
"timestamp": "2020-10-12T02:46:13.823Z",
"description": "1 sighting on 1 source: Abuse.ch: Ransomware C&C URL Blocklist.",
"rule": "C&C URL",
"mitigation": "",
"level": 4.0
},
"maliciousSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malicious Browser Exploits",
"mitigation": "",
"level": 1.0
},
"malwareSiteDetected": {
"count": 1.0,
"timestamp": "2019-12-07T23:10:05.000Z",
"description": "4 sightings on 1 source: Recorded Future URL Analysis.",
"rule": "Historically Detected Malware Distribution",
"mitigation": "",
"level": 1.0
}
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
]
},
"context": {
"malware": {
"rule": {
"count": 0,
"maxCount": 4
},
"score": 0.0
},
"public": {
"rule": {
"maxCount": 26
},
"summary": [
{
"count": 1.0,
"level": 4.0
},
{
"count": 2.0,
"level": 1.0
}
],
"mostCriticalRule": "C&C URL",
"score": 91.0
},
"c2": {
"score": 90.0,
"rule": {
"maxCount": 1,
"count": 1
}
},
"phishing": {
"score": 0.0,
"rule": {
"maxCount": 3,
"count": 0
}
}
},
"score": 91.0
}
}
]
},
"counts": {
"returned": 6,
"total": 6
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 特定のエンティティの拡充に失敗した場合(is_success = true): エンティティが拡充されなかった場合(is_success=false): 「拡充されたエンティティはありません」と出力します。 アクションが失敗し、ハンドブックの実行が停止します。 「Error executing action "Enrich IOC". 理由: {0}''.format(error.Stacktrace) HTTP コード 401(未承認)が返された場合: 「Unauthorized - please check your API token and try again」と出力する |
全般 |
CVE を拡充する
説明
このアクションを使用すると、ユーザーは CVE を送信して、CVE の評判をまとめた脅威インテリジェンス情報を検索できます。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リスクスコアのしきい値 | 文字列 | 25 | はい | CVE が悪意のあるものとしてマークされるための最小悪意のあるリスクスコアを表します。リスクスコアのしきい値は数値で指定する必要があります。範囲は 0 ~ 99 です。バンドレベルは以下のとおりです。 非常に悪意がある: 90 ~ 99 悪意のある: 65 ~ 89 不審: 25 ~ 64 異常: 5 ~ 24 悪意のあるコンテンツなし: 0。 |
ユースケース
セキュリティ アナリストが情報技術インフラストラクチャでセキュリティ評価を実行します。ユーザーは、検出結果から、情報システムが CVE ID が既知の特定された脆弱性の影響を受けることを知ります。アナリストは脆弱性の詳細情報を把握しておらず、その評判を知りたいと考えています。ユーザーは Recorded Future を使用して、脆弱性の CVE の評価を調べることができます。
実行
このアクションは CVE エンティティに対して実行されます。
アクションの結果
エンティティ拡充
エンティティは、しきい値を超えると、不審(True)としてマークされます。それ以外の場合は False です。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 最終参照 | JSON の結果に存在する場合に返す |
| トリガーされたルール | JSON の結果に存在する場合に返す |
| 初回参照 | JSON の結果に存在する場合に返す |
| リスクスコア | JSON の結果に存在する場合に返す |
分析情報
| 重大度 | 説明 |
|---|---|
| 警告 | 拡充されたハッシュの悪意のあるステータスを通知するため、警告インサイトが作成されます。検出されたエンジンの数が、スキャン前に設定された最小の疑わしいしきい値以上になると、分析情報が作成されます。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON の結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45"
},
"Entity": "CVE-2019-9925"
}
]
ハッシュを拡充する
説明
このアクションにより、ユーザーはハッシュを送信して、ハッシュの評価をまとめた脅威インテリジェンス情報を検索できます。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| リスクスコアのしきい値 | 文字列 | 25 | CVE が悪意のあるものとしてマークされるための最小悪意のあるリスクスコアを表します。リスクスコアのしきい値は数値で指定する必要があります。範囲は 0 ~ 99 です。バンドレベルは以下のとおりです。 非常に悪意がある: 90 ~ 99 悪意のある: 65 ~ 89 不審: 25 ~ 64 異常: 5 ~ 24 悪意のあるコンテンツなし: 0。 |
ユースケース
エンドポイント上のファイルがウイルスに感染している疑いがあります。Recorded Future を使用して、ユーザーはファイルのハッシュを送信し、ルックアップで評判を取得できます。
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
エンティティは、しきい値を超えると、不審(True)としてマークされます。それ以外の場合は False です。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 最終参照 | JSON の結果に存在する場合に返す |
| トリガーされたルール | JSON の結果に存在する場合に返す |
| 初回参照 | JSON の結果に存在する場合に返す |
| リスクスコア | JSON の結果に存在する場合に返す |
| ハッシュ アルゴリズム | JSON の結果に存在する場合に返す |
分析情報
| 重大度 | 説明 |
|---|---|
| 警告 | 拡充されたハッシュの悪意のあるステータスを通知するため、警告インサイトが作成されます。リスクスコアが最小の不審なリスクスコアのしきい値以上になると、分析情報が作成されます。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON の結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Hash Algorithm": "MD5"
},
"Entity": "MD5"
}
]
ホストを拡充する
説明
このアクションを使用すると、ホスト名を送信して、ホストの評判をまとめた脅威インテリジェンス情報を検索できます。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| リスクスコアのしきい値 | 文字列 | 25 | CVE が悪意のあるものとしてマークされるための最小悪意のあるリスクスコアを表します。リスクスコアのしきい値は数値で指定する必要があります。範囲は 0 ~ 99 です。バンドレベルは以下のとおりです。 非常に悪意がある: 90 ~ 99 悪意のある: 65 ~ 89 不審: 25 ~ 64 異常: 5 ~ 24 悪意のあるコンテンツなし: 0。 |
ユースケース
ユーザーが、自分のドメインのウェブドメイン レプリカにリダイレクトするメールを受信します。ドメインは、アクセス用の認証情報を入力するよう求めるドメインの登録事業者であると主張していますが、偽のドメインにはフィッシングの意図があります。ユーザーは Recorded Future を使用してドメインの評判を調べることができます。
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
エンティティ拡充
エンティティは、しきい値を超えると、不審(True)としてマークされます。それ以外の場合は False です。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 最終参照 | JSON の結果に存在する場合に返す |
| トリガーされたルール | JSON の結果に存在する場合に返す |
| 初回参照 | JSON の結果に存在する場合に返す |
| リスクスコア | JSON の結果に存在する場合に返す |
分析情報
| 重大度 | 説明 |
|---|---|
| 警告 | 拡充されたハッシュの悪意のあるステータスを通知するため、警告インサイトが作成されます。検出されたエンジンの数が、スキャン前に設定された最小の疑わしいしきい値以上になると、分析情報が作成されます。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON の結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
IP を拡充する
説明
このアクションを使用すると、ユーザーは IP アドレスを送信して、IP の評判をまとめた脅威インテリジェンス情報を検索できます。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| リスクスコアのしきい値 | 文字列 | 25 | CVE が悪意のあるものとしてマークされるための最小悪意のあるリスクスコアを表します。リスクスコアのしきい値は数値で指定する必要があります。範囲は 0 ~ 99 です。バンドレベルは以下のとおりです。 非常に悪意がある: 90 ~ 99 悪意のある: 65 ~ 89 不審: 25 ~ 64 異常: 5 ~ 24 悪意のあるコンテンツなし: 0。 |
ユースケース
なし
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
エンティティ拡充
エンティティは、しきい値を超えると、不審(True)としてマークされます。それ以外の場合は False です。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| 最終参照 | JSON の結果に存在する場合に返す |
| トリガーされたルール | JSON の結果に存在する場合に返す |
| 初回参照 | JSON の結果に存在する場合に返す |
| リスクスコア | JSON の結果に存在する場合に返す |
| Geo-City | JSON の結果に存在する場合に返す |
| Geo-Country | JSON の結果に存在する場合に返す |
| 組織 | JSON の結果に存在する場合に返す |
| Asn | JSON の結果に存在する場合に返す |
分析情報
| 重大度 | 説明 |
|---|---|
| 警告 | 拡充されたハッシュの悪意のあるステータスを通知するため、警告インサイトが作成されます。検出されたエンジンの数が、スキャン前に設定された最小の疑わしいしきい値以上になると、分析情報が作成されます。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON の結果
[
{
"EntityResult":
{
"Last Reference": "2019-10-04T18:19:19.044Z",
"Triggered Rules": "7/51",
"First Reference": "16-05-25T11:47:06.812Z",
"Risk Score": "45",
"Geo-City": "Beijing",
"Geo-Country": "China",
"Org": "DigitalOcean",
"Asn": "AS393406"
},
"Entity": "8.8.8.8"
}
]
URL を拡充する
説明
このアクションを使用すると、ユーザーは URL を送信して、URL の評判をまとめた脅威インテリジェンス情報を検索できます。
パラメータ
| パラメータ | 種類 | デフォルト値 | 説明 |
|---|---|---|---|
| リスクスコアのしきい値 | 文字列 | 25 | CVE が悪意のあるものとしてマークされるための最小悪意のあるリスクスコアを表します。リスクスコアのしきい値は数値で指定する必要があります。範囲は 0 ~ 99 です。バンドレベルは以下のとおりです。 非常に悪意がある: 90 ~ 99 悪意のある: 65 ~ 89 不審: 25 ~ 64 異常: 5 ~ 24 悪意のあるコンテンツなし: 0。 |
ユースケース
ユーザーがメールボックスを開くと、重要なパスワードの変更やソフトウェアのアップデートを行うために、指定された URL にアクセスするよう指示する不審なメールが届いています。ユーザーは Recorded Future を使用して URL の評価を調べることができます。
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
エンティティ拡充
エンティティは、しきい値を超えると、不審(True)としてマークされます。それ以外の場合は False です。
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| トリガーされたルール | JSON の結果に存在する場合に返す |
| リスクスコア | JSON の結果に存在する場合に返す |
分析情報
| 重大度 | 説明 |
|---|---|
| 警告 | 拡充されたハッシュの悪意のあるステータスを通知するため、警告インサイトが作成されます。検出されたエンジンの数が、スキャン前に設定された最小の疑わしいしきい値以上になると、分析情報が作成されます。 |
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_risky | True/False | is_risky:False |
JSON の結果
[
{
"EntityResult":
{
"Triggered Rules": "7\/51",
"Risk Score": "45"
},
"Entity": "8.8.8.8"
}
]
アラートの詳細を取得する
説明
特定のアラートに関する情報を取得し、ケースに結果を返します。
アクションを使用して、Recorded Future アラートに関するドキュメント、関連エンティティ、証拠などの詳細情報を取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | 詳細を取得するアラートの ID を指定します。 |
実行
このアクションはエンティティに対して実行されず、Google SecOps TicketId(記録された将来のアラート ID)に対してのみ実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"data": {
"review": {
"assignee": null,
"noteAuthor": null,
"note": null,
"status": "no-action",
"noteDate": null
},
"entities": [
{
"entity": {
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:gmail.com.sabsepehlelic.com",
"name": "gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
},
{
"entity": {
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
},
"risk": {
"criticalityLabel": "Suspicious",
"score": null,
"documents": [
{
"references": [
{
"fragment": "A certificate for the domain www.gmail.com.sabsepehlelic.com has been registered",
"entities": [
{
"id": "idn:www.gmail.com.sabsepehlelic.com",
"name": "www.gmail.com.sabsepehlelic.com",
"type": "InternetDomainName"
}
],
"language": "eng"
}
],
"source": {
"id": "beD_4-",
"name": "New Certificate Registrations",
"type": "Source"
},
"url": null,
"title": "Certificate Registration"
}
],
"evidence": [
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:23.924Z",
"criticalityLabel": "Suspicious",
"evidenceString": "1 sighting on 1 source: New Certificate Registrations. Certificate registered on Sep 28, 2020.",
"rule": "Newly Registered Certificate With Potential for Abuse - DNS Sandwich",
"criticality": 2
},
{
"mitigationString": "",
"timestamp": "2020-09-28T02:36:25.000Z",
"criticalityLabel": "Suspicious",
"evidenceString": "Identified by Recorded Future as potential typosquatting: DNS Sandwich similarity found between www.gmail.com.sabsepehlelic.com and 1 possible target: gmail.com.",
"rule": "Recent Typosquat Similarity - DNS Sandwich",
"criticality": 2
}
],
"criticality": 2
},
"trend": {},
"documents": []
}
],
"url": "https://app.recordedfuture.com/live/sc/notification/?id=feRS3x",
"rule": {
"url": "https://app.recordedfuture.com/live/sc/ViewIdkobra_view_report_item_alert_editor?view_opts=%7B%22reportId%22%3A%22eOFFb0%22%2C%22bTitle%22%3Atrue%2C%22title%22%3A%22Infrastructure+and+Brand+Risk%2C+Potential+Typosquatting+Watch+List+Domains%22%7D&state.bNavbar=false",
"name": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains",
"id": "eOFFb0"
},
"triggered": "2020-09-28T10:13:40.466Z",
"id": "feRS3x",
"counts": {
"references": 2,
"entities": 2,
"documents": 1
},
"title": "Infrastructure and Brand Risk, Potential Typosquatting Watch List Domains ...",
"type": "ENTITY"
}
}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 アクションが失敗し、ハンドブックの実行が停止します。
ケースを区別する方法がない場合 :
HTTP コード 401(未承認)が返された場合: 「Unauthorized - please check your API token and try again」と出力します。 |
全般 |
CVE 関連エンティティを取得する
説明
このアクションを使用すると、ユーザーは CVE を送信して、関連するすべての CVE エンティティを検索できます。意思決定に重要な生の情報である非常に重要な情報は、提供されたコンテキスト情報から収集できます。
パラメータ
なし
ユースケース
システム脆弱性評価中に、アナリストはシステムが CVE に対して脆弱であることを認識します。アナリストがルックアップ アクションを実行し、CVE が悪意のあるものと判断されます。アナリストは、関連エンティティの情報を取得して、CVE で使用されているテクノロジーとベクトルについて詳しく調べることにしました。
実行
このアクションは CVE エンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
ハッシュ関連エンティティを取得する
説明
RecordedFuture にクエリを実行して、ハッシュに関連するエンティティを取得します。
パラメータ
なし
ユースケース
組織のエンドポイントの 1 つのウイルス対策隔離で、ユーザーが悪意のあるハッシュを特定します。ハッシュに関する詳細情報を入手して、緩和策を検討したいと考えています。Recorded future を使用すると、脅威に関する詳細情報を取得できます。
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
ホスト関連エンティティを取得する
説明
このアクションにより、ユーザーはホストを送信して、ホストに関連するすべてのエンティティを検索できます。意思決定に重要な生の情報であるコンテキスト情報から、非常に重要な情報を収集できます。
パラメータ
なし
ユースケース
ユーザーが組織のエンドポイントのウイルス対策隔離で悪意のあるハッシュを特定しました。ユーザーは、ハッシュに関する詳細情報を取得して、ハッシュを軽減する方法を考案したいと考えています。Recorded Future を使用すると、脅威に関する詳細情報を取得できます。
実行
このアクションはホスト名エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
IP 関連エンティティを取得する
説明
このアクションを使用すると、IP アドレスを送信して、その IP に関連するすべてのエンティティを検索できます。収集された情報により、攻撃者の特定、動機と能力の把握、システム内の侵害の兆候の特定など、重要な分析情報を取得できます。ユーザーは、この情報に基づいてセキュリティに関する判断を下すことができます。
パラメータ
なし
ユースケース
WAF(ウェブ アプリケーション ファイアウォール)は、IP アドレスからの不審なウェブ トラフィックのログエントリを作成します。ログエントリがアナリストによって確認応答されると、IP アドレスは Recorded Future によって評判を特定するためにエンリッチメントのために送信されます。IP が危険と判断された場合、ハンドブックは IP をブロックします。
実行
このアクションは IP アドレス エンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
Ping
説明
接続をテストします。
パラメータ
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_successful | True/False | is_successful:False |
アナリスト ノートを追加する
説明
Google SecOps で以前に拡充されたエンティティにアナリスト ノートを追加して、Recorded Future エンティティに送信します。アクションにより、関連するスコープ エンティティにメモが追加されます。
を参照してください。パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| メモのタイトル | 文字列 | メモのタイトル | はい | メモのタイトルを指定する |
| メモのテキスト | 文字列 | メモのテキスト | はい | メモのテキストを指定する |
| メモのソース | 文字列 | なし | はい | メモのソースの RF ID を指定します。API エクスプローラには、API トークンが有効になっているユーザーがアクセスできる RF ID が表示されます。たとえば、VWKdVr はアナリスト ノートの RF ID であり、Recorded Future の同じエンタープライズ アカウントのユーザーのみが利用できます。 |
| トピック | DDL (下記の表を参照) |
なし | いいえ | 必要に応じて、リストから関連するメモのトピックを指定します。 |
| エンティティを拡充しますか? | チェックボックス | オン | はい | アクションで「IOC の拡充」出力を使用してエンティティを拡充するかどうかを指定します。 |
[Topic] フィールドの DDL 値
| 表示テキスト | リクエストで送信する文字列 |
|---|---|
| なし(デフォルト) | 何も送信しない |
| アクター プロファイル | TXSFt2 |
| アナリスト オンデマンド レポート | VlIhvH |
| サイバー脅威分析 | TXSFt1 |
| 速報 | TXSFt0 |
| インジケーター | TXSFt4 |
| 情報 | UrMRnT |
| マルウェア/ツールのプロファイル | UX0YlU |
| ソース プロファイル | UZmDut |
| 脅威リード | TXSFt3 |
| 検証済みのインテリジェンス イベント | TXSFt5 |
| Weekly Threat Landscape | VlIhvG |
| YARA ルール | VTrvnW |
実行
このアクションは次のエンティティ タイプに対して実行されます。
- IP アドレス
- URL
- Filehash
- CVE
- ドメイン
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| RF_doc_id | JSON で利用可能な場合。 |
ケースウォール
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 IOC の拡充の実行時に Recorded Future で少なくとも 1 つのエンティティが見つからなかった場合: 「次のエンティティは Recorded Future に存在しません - {non_existing_entities} アクションが失敗します。 エンティティに RF_ID がなく、IOC の拡充で見つからなかった場合: 「Recorded Future は「IOC の拡充」で指定されたエンティティを見つけられなかったため、アナリスト ノートを公開できませんでした。」 HTTP コード 401(認証エラー)が返された場合 - 「Unauthorized - please check your API token and try again」(認証エラー - API トークンを確認してもう一度お試しください) |
全般 |
アラートを更新
説明
Recorded Future でアラートを更新します。
パラメータ
| パラメータの表示名 | タイプ | デフォルト値 | 必須 | Description |
|---|---|---|---|---|
| アラート ID | 文字列 | なし | はい | 更新する必要があるアラートの ID を指定します。 |
| ステータス | DDL | 1 つ選択 有効な値: 未割り当て 割り当て済み 保留中 拒否 新規 解決済み チューニング用のフラグ |
いいえ | アラートの新しいステータスを指定します。 |
| 担当者 | 文字列 | いいえ | アラートを割り当てるユーザーを指定します。ID、ユーザー名、ユーザー ハッシュ、メールアドレスを指定できます。 | |
| 注 | 文字列 | アラートで更新するメモを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
Case Wall
| 結果のタイプ | 値 / 説明 | タイプ |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。 アクションが失敗し、ハンドブックの実行が停止します: エラーリストが空でない場合: 「アクション「アラートの更新」の実行中にエラーが発生しました。理由: {0}''.format(error/reason) ステータスが「1 つ選択」に設定され、他の値が指定されていない場合: 「アクション「アラートの更新」の実行中にエラーが発生しました。理由: アクション パラメータの少なくとも 1 つに値が指定されている必要があります。 |
全般 |
コネクタ
Recorded Future - Security Alerts Connector
説明
Recorded Future からセキュリティ アラートを取得します。
ホワイトリストとブラックリストは Recorded Future のルール名で機能します。
Google SecOps で Recorded Future - Security Alerts Connector を構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | title | はい | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | ID | はい | ソース フィールド名を入力してイベント フィールド名を取得します。 |
環境フィールド名 |
文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
環境の正規表現パターン |
文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| API URL | 文字列 | https://api.recordedfuture.com | はい | Recorded Future インスタンスの API ルート。 |
| API キー | パスワード | なし | はい | Recorded Future の API キー。 |
| 遡る取得の最大時間数 | 整数 | 1 | いいえ | どの時点からイベントを取得するかの時間数。 |
| 取得するアラートの最大数 | 整数 | 100 | いいえ | 1 回のコネクタの反復処理で対応するアラートの数。 |
| 重大度 | 文字列 | 中 | はい | 重大度は、低、中、高、重大のいずれかの値になります。 |
| アラートの詳細を取得する | チェックボックス | オフ | はい | Recorded Future からアラートの詳細を取得します。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | はい | 有効になっている場合は、Recorded Future サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタルール
プロキシのサポート
コネクタでプロキシがサポートされます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。