適応応答
アプリが提供する適応型応答アクションにより、Recorded Future からの情報で IOC を強化できます。 これは、Recorded Futureに基づくエンリッチメントと似ていますが、いくつかの違いがあります。
| リスクリストのエンリッチメント | 適応応答 |
|---|---|
| エンリッチメントは、リスクリストに存在する情報に基づきます。 | エンリッチメントは、Recorded Future API に対してリアルタイムで行われます |
| リスクリストの更新サイクルにより、情報が完全に最新ではない場合があります。 | 情報は常に最新の状態に保たれています |
| リスクリストに存在する IOC のみが強化されます(注を参照)。 | 既知の IOC は強化されます。 |
| エンリッチメントでは API クレジットは使用されません。 | エンリッチメントでは、エンリッチメントに成功した IOC ごとに 1 つの API クレジットが使用されます。 |
注:通常、リストには、リスクスコアがしきい値を超えるIOCのみが含まれます。 これは、リストを管理可能なサイズに保つために行われます。
Adaptive Responseの設定
適応応答を使用する通常の方法は、調査が必要なイベントを収集する相関検索の適応応答のリストに適応応答を追加することです。
これを設定すると、検索で見つかったイベントごとにAdaptive Responseが実行されます。
このような検索の例としては、Splunkの脅威インテリジェンスフレームワークで認識されている脅威に一致するすべてのネットワークイベントを検出する「Threat Activity Detected」があります。
複数の相関検索で同じ適応応答を使用できます。
アダプティブレスポンスアクションの追加
次に、その相関検索に適応応答を追加する方法を示します。
- Splunk Enterprise Securityで、[Configure]-[Content Management]>に移動します。
- 「脅威アクティビティが検出されました」を見つけて、名前をクリックします。
- ページの下部には、「適応型応答アクション」セクションがあります。 「+ Add New Response Action」をクリックします。
-
ドロップダウンリストから、「Enrich with Recorded Future」をクリックします。
-
ほとんどの場合、変更の必要はなく、[保存]をクリックするだけです。 相関検索で「threat_match_value」以外のフィールドを使用して、検出した IOC を示す場合は、そのフィールド名をフィールド値として入力する必要があります。
警告: エンリッチメントされた各 IOC は、1 つの API クレジットを消費する可能性があります。 使用する相関検索で、過剰な数のイベントが発生しないことを確認します。
Adaptive Responseアクションの削除
ある時点で、Adaptive Responseアクションを相関検索から削除する必要がある場合、これは非常に簡単です。
- Splunk Enterprise Securityで、[Configure]-[Content Management]>に移動します。
- 相関検索を見つけて選択します。
- ページの下部には、「適応型応答アクション」セクションがあります。
-
アクションの横にある [X] をクリックして保存します。
Adaptive Responseのアドホックな使用
Adaptive Responseに対して、たとえば[インシデントレビュー]パネルからアドホックコールを行うことができます。
- 「インシデント・レビュー」パネルで重要なイベントを確認する場合は、「イベント・アクション」をクリックします。
-
「Adaptive Responseの実行」を選択します。
-
「Recorded Future」を選択して実行します。 ポップアップを閉じます。
-
パネルの「Adaptive Responses」セクションのすぐ上にあるリロード記号をクリックします。
-
チェックマークと「成功」が「ステータス」列に表示されると、エンリッチメントが完了します。 [Enrich with Recorded Future] をクリックすると、エンリッチメント ビューが (別のビューで) 開き、エンリッチメントによって返された情報が表示されます。
