リスクリストの設定と管理
リスクリストを使用して、イベントを関連付け、強化できます。 IP番号やドメインなどのリスクリストの各要素には、リスクスコアと、そのリスクスコアに寄与した情報が含まれています。
デフォルト・リスク・リスト
Recorded Future アプリには、次の 5 つの Recorded Future Risk List が付属しています。
- IPアドレス
- ドメイン名
- URL (英語)
- ファイルのハッシュ
- 脆弱性(主にCVE)
Fusionアクセスを使用すると、カスタマイズされたリスクリストを操作できます。
リスクリストの追加
追加のリスクリストは、「 リスクリストの追加」をクリックしてダウンロードできます。 次のフィールドが上部に表示されます。
畑 | 意味 | コメント |
---|---|---|
名前 | Splunkインスタンス内のリスクリスト名。 | ルックアップ ファイルの名前は .csv になります。 |
リスク・リスト・カテゴリー | リスク・リストに含まれるエンティティのタイプ。 | IP、ドメイン、ハッシュ、脆弱性、または URL。 |
Fusion ファイル | フュージョン・リスク・リストへのパス。 | パスは、ルックアップとして使用する場合、非圧縮CSVファイルとして保存されている定義済みのFusionファイルを指す必要があります。 |
更新間隔 | 更新の確認に使用される間隔。 | デフォルトでは、更新されたバージョンが利用可能になるとすぐになります。 |
新しいリスクリストの設定が完了したら、[ 保存 ]をクリックして新しい設定を保存します。
リスクリストの管理
設定されたすべてのリスク リストは、[設定] → [設定] → [リスク リスト] に一覧表示されます。 リスクリスト入力のリストは、カスタムリスクリストが上部に、デフォルト設定が下部に表示されるようにソートされます。 デフォルトのリスクリスト入力は削除できず、無効にすることしかできません。
設定済みのリスクリストを編集するには、[ 編集 ]をクリックするだけで、フィールドのロックが解除されます。 設定の編集が完了したら、[ 保存 ] をクリックします。
リスクリストを削除するには、対応する 「リスクリストの削除 」チェックボックスを選択し、「 保存」をクリックします。
Splunk ES で今後記録されるアプリに関する特別な考慮事項
Recorded Future App for SplunkとRecorded Future App for Splunk ESはどちらも、デフォルトのリスクリストの同じセットを取得します。 不要なクレジット消費と処理負荷を回避するには、Recorded Future App for Splunk ESからリスクリストにアクセスし、Recorded Future App for Splunkで無効にすることをお勧めします。
さらにヘルプ
「Recorded Future App for Splunk」は、Recorded Futureによって開発されました。
詳細情報とサポートは、サポートWebサイト( support.recordedfuture.com