>

Adaptives Ansprechen

Die von der App bereitgestellte Adaptive Response-Aktion ermöglicht es, IOCs mit Informationen aus Recorded Future anzureichern. Dies ähnelt der Anreicherung auf der Grundlage der aufgezeichneten Zukunft, jedoch mit einigen Unterschieden:

Anreicherung der Risikoliste Adaptives Ansprechen
Die Anreicherung basiert auf den Informationen, die in der Risikoliste vorhanden sind. Die Anreicherung erfolgt in Echtzeit in Richtung der Recorded Future API
Die Informationen sind aufgrund von Aktualisierungszyklen der Risikolisten möglicherweise nicht vollständig aktuell. Die Informationen sind immer auf dem neuesten Stand
Nur IOCs, die in den Risikolisten enthalten sind, werden angereichert (siehe Hinweis). Jedes bekannte IOC wird angereichert.
Für die Anreicherung wird kein API-Guthaben verwendet. Für die Anreicherung wird ein API-Guthaben pro erfolgreich angereichertem IOC verwendet.

Hinweis: In der Regel enthält die Liste nur IOCs mit einer Risikobewertung über einem bestimmten Schwellenwert. Dies geschieht, um die Listen auf eine überschaubare Größe zu beschränken.

Adaptive Reaktion einrichten

Der normale Weg, eine adaptive Antwort zu verwenden, besteht darin, sie der Liste der adaptiven Antworten einer Korrelationssuche hinzuzufügen, die Ereignisse sammelt, die untersucht werden sollen.

Sobald dies eingerichtet ist, wird die adaptive Antwort für jedes von der Suche gefundene Ereignis ausgeführt.

Ein Beispiel für eine solche Suche ist "Threat Activity Detected", die alle Netzwerkereignisse erkennt, die mit Bedrohungen übereinstimmen, die dem Threat Intelligence-Framework von Splunk bekannt sind.

Es ist möglich, dieselbe adaptive Antwort für mehrere Korrelationssuchen zu verwenden.

Hinzufügen einer Adaptive Response-Aktion

Hier sehen Sie, wie Sie die adaptive Antwort zu dieser Korrelationssuche hinzufügen würden:

  1. Navigieren Sie in Splunk Enterprise Security zu Configure->Content Management.
  2. Suchen Sie nach "Bedrohungsaktivität erkannt" und klicken Sie auf den Namen.
  3. Am unteren Rand der Seite befindet sich der Abschnitt "Adaptive Response Action". Klicken Sie auf "+ Neue Antwortaktion hinzufügen".
  4. Klicken Sie in der Dropdown-Liste auf "Mit Recorded Future anreichern".
    Neue Antwortaktion hinzufügen
  5. In den meisten Fällen sind keine Änderungen notwendig - klicken Sie einfach auf Speichern. Wenn die Korrelationssuche ein anderes Feld als "threat_match_value" verwendet, um anzugeben, welches IOC erkannt wurde, muss der Feldname als Feldwert eingegeben werden.
    Konfigurieren der adaptiven Reaktion

Warnung: Jedes IOC, das angereichert wird, kann ein API-Guthaben verbrauchen. Stellen Sie sicher, dass die verwendete Korrelationssuche keine übermäßige Anzahl von Ereignissen ergibt.

Entfernen der Aktion "Adaptive Reaktion"

Wenn die Adaptive Response-Aktion zu einem bestimmten Zeitpunkt aus einer Korrelationssuche entfernt werden muss, ist dies sehr einfach.

  1. Navigieren Sie in Splunk Enterprise Security zu Configure->Content Management.
  2. Suchen Sie die Korrelationssuche, und wählen Sie sie aus.
  3. Am unteren Rand der Seite befindet sich der Abschnitt "Adaptive Response Action".
  4. Klicken Sie auf das X neben der Aktion und speichern Sie.
    Entfernen einer adaptiven Antwort

Ad-hoc-Einsatz der adaptiven Reaktion

Es ist möglich, Ad-hoc-Aufrufe an die adaptive Reaktion zu tätigen, z. B. über das Incident Review-Panel.

  1. Wenn Sie ein wichtiges Ereignis im Bereich "Incident Review" überprüfen, klicken Sie auf Ereignisaktionen.
  2. Wählen Sie "Adaptive Antwort ausführen" aus.
    Ad-hocAdaptive Response starten
  3. Wählen Sie "Aufgezeichnete Zukunft" und führen Sie es aus. Schließen Sie das Pop-up.
    Neue Antwortaktion hinzufügen
  4. Klicken Sie auf das Reload-Symbol direkt über dem Abschnitt "Adaptive Responses" des Panels.
    Reload-Response-Aktion
  5. Wenn das Häkchen und "Erfolg" in der Spalte Status sichtbar ist, ist die Anreicherung abgeschlossen. Wenn Sie auf "Anreicherung mit aufgezeichneter Zukunft" klicken, wird eine Anreicherungsansicht (in einer separaten Ansicht) mit den von der Anreicherung zurückgegebenen Informationen geöffnet.
    Ansicht "Adaptive Response"