Recorded Future IOC のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、API を使用して Recorded Future IOC ログを Google Security Operations に取り込む方法について説明します。パーサーは、JSON 形式のデータを統合データモデル(UDM)に変換します。IOC の詳細を抽出し、UDM フィールドにマッピングし、重要度に基づいて脅威を分類し、タイムスタンプとベンダー情報でデータを拡充します。
始める前に
次の前提条件を満たしていることを確認してください。
- Google SecOps インスタンス
- Recorded Future Enterprise アカウントへの特権アクセス
Recorded Future API トークンを取得する
- Recorded Future にログインします。
- 右上にあるアバターをクリックし、[User Settings] を選択します。
- ナビゲーション メニューで [API アクセス] をクリックします。
- [Generate New API Token] をクリックします。
- 表示された長い文字列(例:
RF-1234567890abcdef...)をコピーします。- 複数のキーを作成できます。Google SecOps などのわかりやすい名前を指定します。
- トークンをコピーして安全な場所に保存します。API トークンは再度表示されません。
フィードを設定する
- [SIEM 設定] > [フィード] に移動します。
- [+ 新しいフィードを追加] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
Recorded Future IOC)。 - [ソースタイプ] として [サードパーティ API] を選択します。
- [Recorded Future] ログタイプを選択します。
- [次へ] をクリックします。
- 次の入力パラメータの値を指定します。
- 認証 HTTP ヘッダー
X-RFToken:<your-api_key><your-api_key>は、前の手順でコピーした実際のキーに置き換えてください。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
- 認証 HTTP ヘッダー
- [次へ] をクリックします。
- [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
| Details.EvidenceDetails.Criticality | ||
| Details.EvidenceDetails.CriticalityLabel | ||
| Details.EvidenceDetails.EvidenceString | ioc.description | 「EvidenceString」フィールドの値がこのフィールドにマッピングされます。 |
| Details.EvidenceDetails.EvidenceString | entity.metadata.threat.description | 「EvidenceString」フィールドの値がこのフィールドにマッピングされます。 |
| Details.EvidenceDetails.MitigationString | ||
| Details.EvidenceDetails.Rule | ioc.categorization | 「Rule」フィールドの値がこのフィールドにマッピングされます。 |
| Details.EvidenceDetails.Rule | entity.metadata.threat.rule_name | 「Rule」フィールドの値がこのフィールドにマッピングされます。 |
| Details.EvidenceDetails.Timestamp | ||
| リスク | ioc.confidence_score | 「Risk」フィールドの値は文字列に変換され、このフィールドにマッピングされます。 |
| リスク | entity.metadata.threat.severity_details | 「Risk」フィールドの値が文字列「Risk - 」と連結され、このフィールドにマッピングされます。 |
| 値 | entity.entity.hostname | [値] フィールドがドメイン名の場合、このフィールドにマッピングされます。 |
| 値 | ioc.domain_and_ports.domain | [値] フィールドがドメイン名の場合、このフィールドにマッピングされます。 |
| 値 | ioc.ip_and_ports.ip_address | 「値」フィールドが IP アドレスの場合、このフィールドにマッピングされます。 |
| entity.entity.ip | 「Value」フィールドの値は IP アドレスとして解析され、このフィールドにマッピングされます。 | |
| ioc.feed_name | このフィールドには「Recorded Future IOC」という値が割り当てられます。 | |
| ioc.raw_severity | 値は、「Risk」フィールドと「CriticalityLabel」フィールドをコロンで区切って連結することで生成されます。 | |
| entity.metadata.collected_timestamp | 「Details.EvidenceDetails.Timestamp」フィールドの値は ISO8601 タイムスタンプとして解析され、このフィールドにマッピングされます。 | |
| entity.metadata.entity_type | 「Value」フィールドがドメイン名の場合は「DOMAIN_NAME」に、IP アドレスの場合は「IP_ADDRESS」に設定されます。 | |
| entity.metadata.interval.end_time | このフィールドには、値「253402300799」(最大タイムスタンプ値を表す)が割り当てられます。 | |
| entity.metadata.interval.start_time | 「Details.EvidenceDetails.Timestamp」フィールドの値は ISO8601 タイムスタンプとして解析され、このフィールドにマッピングされます。 | |
| entity.metadata.threat.category | 値は「CriticalityLabel」フィールドに基づいて決定されます。「Malicious」は「SOFTWARE_MALICIOUS」に、「Suspicious」は「SOFTWARE_SUSPICIOUS」に、その他の値は「UNKNOWN_CATEGORY」にマッピングされます。 | |
| entity.metadata.threat.category_details | 値は、文字列「Criticality -」、「Criticality」、「:」、「CriticalityLabel」を、入力データの対応する値と連結することで生成されます。 | |
| entity.metadata.threat.severity | 値は「CriticalityLabel」フィールドに基づいて決定されます。「Malicious」は「HIGH」に、「Suspicious」は「MEDIUM」に、その他の値は「LOW」にマッピングされます。 | |
| entity.metadata.threat.threat_feed_name | このフィールドには「Recorded Future IOC」という値が割り当てられます。 | |
| entity.metadata.vendor_name | このフィールドには「RECORDED_FUTURE_IOC」という値が割り当てられます。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。