次の方法で共有


Recorded Future Identity

レコーデッド フューチャー アイデンティティ インテリジェンス コネクターを使用すると、セキュリティチームと IT チームは、従業員と顧客の両方の ID の侵害を検出できます。 これを行うために、レコーデッド フューチャーは、さまざまなソースからの ID インテリジェンスの収集、分析、および生成を自動化します。 このコネクタを介して、組織は ID インテリジェンスを、Azure Active Directory や Microsoft Sentinel のようなアプリケーションを使用した自動ワークフロー (パスワードのリセットなど) に組み込むことができます。

このコネクタは、次の製品および地域で利用可能です:

サービス クラス リージョン
Logic Apps 標準 すべての Logic Apps 地域
Power Automate Premium すべての Power Automate 地域
Power Apps Premium すべての Power Apps 地域
お問い合わせ先
件名 Recorded Future サポート
[URL] https://support.recordedfuture.com
メール support@recordedfuture.com
Connector Metadata
発行者 レコーデッド フューチャー
Web サイト https://www.recordedfuture.com
プライバシー ポリシー https://www.recordedfuture.com/privacy-policy/
カテゴリー AI; データ

前提条件

Microsoft Azure でレコーデッド フューチャー アイデンティティ コネクターを有効にするには、ユーザーはレコーデッド フューチャー API トークンをプロビジョニングする必要があります。

資格情報の入手方法

必要な API トークンを取得するには、レコーデッド フューチャー アカウント マネージャーに連絡してください。

コネクタの使用を開始する

コネクタには 2 つのアクションがあります。

  • 資格情報の検索 - このアクションを使用して、内部アカウントと外部アカウントの両方の公開された資格情報を一覧表示します。 外部アカウント検索は、マルウェア ログで侵害された資格情報に対してのみ可能であり、認証 URL ドメインによる検索が可能であることに注意してください。
  • 資格情報検索 - このアクションを使用して、特定のアカウントの公開された資格情報に関する詳細情報を取得します。 これには、資格情報がそのようなコレクション、ダウンロード日、パスワード分析で見つかった場合のダンプまたは違反の詳細が含まれ、マルウェアログで見つかった場合は、侵入日、使用されたマルウェアの種類、認証 URL、その他多くの属性などの追加情報が含まれます。

このコネクタの推奨される使用例は次のとおりです。内部または「従業員」のセキュリティの場合:定期的に(たとえば、1日1回または1週間に1回)、このレコーデッド フューチャー インテリジェンス コネクタを使用して、「新しい」従業員を検索します。最近公開された可能性のある資格情報。 そのような資格情報が見つかったら、検索アクションを使用して、侵害された資格情報に関する詳細を取得します。 または、疑わしい従業員の行動に気付いた場合 (たとえば、珍しい地理的な場所からのログイン、営業時間外の大量の情報のダウンロード)、レコーデッド フューチャーアイデンティティ インテリジェンス コネクタ検索アクションを使用して、そのユーザーが以前のダンプまたはマルウエア ログで公開された資格情報を持っているかどうかを確認します。 考えられる修正と次の手順 (このコネクタとそれに関連するワークフローの下流で設定) には、パスワードのリセット、ユーザー特権の取り消し、資格侵害の履歴のログ記録、MFA の設定、ユーザーの検疫などがあります。 上級チームは、システム全体の使用状況を追跡するために、脅威アクターによる乗っ取りの疑いのあるユーザーにフラグを立てることもできます。 外部または "顧客" のセキュリティの場合: 上記の 1a と同様に、レコーデッド フューチャーアイデンティティ インテリジェンス マルウェアログで、資格情報が侵害された特定の認証ドメイン (この組織に属する) を定期的に検索できます。 別の使用例: 新しい顧客アカウントの作成中に、レコーデッド フューチャーアイデンティティ インテリジェンス モジュールを使用して、ユーザー名および/またはユーザー名/パスワードのペアが以前に侵害されたかどうかを確認します。別の使用例: 顧客のログイン中に、レコーデッド フューチャーアイデンティティ インテリジェンス モジュールを確認します。ユーザー名とパスワードのペアが危険にさらされているかどうか考えられる解決策には、パスワードのリセットを要求するか、アカウントを一時的にロックダウンして、ユーザーの再認証プロセスについてユーザーの連絡先顧客サービスを要求することが含まれます。

一般的なエラーと解決策

次のエラーコードは、通常、コネクタ アクションによって返されます。

  • 400 不正な要求 - サーバーが、パラメーターの形式が不適切な要求など、誤った要求を受信した場合に返されます。
  • 403 無効です - 提供された API トークンに十分なアクセス権がない場合、またはユーザーがレコーデッド フューチャーで自分のものとして認識されていないドメインに属する公開された資格情報にアクセスしようとした場合に返されます。 これらの問題は両方とも、アカウント マネージャーに連絡することで解決されます。

接続を作成する

このコネクタは、次の認証タイプをサポートしています:

既定 接続を作成するためのパラメーター。 すべての地域 共有不可

既定

適用できるもの: すべての領域

接続を作成するためのパラメーター。

これは共有可能な接続ではありません。 パワー アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。

名前 タイプ 説明 必須
API Key securestring この API のキー True

調整制限

名前 呼び出し 更新期間
接続ごとの API 呼び出し 100 60 秒

アクション

資格情報の検索 - 1 つ以上のドメインの資格情報データを検索する

データ ダンプやマルウェア ログで公開された資格情報データを検索する

資格情報の検索 - 1 人以上のユーザーの資格情報データを検索します

特定の主題のセットについて公開された資格情報データを検索する

資格情報の検索 - 1 つ以上のドメインの資格情報データを検索する

データ ダンプやマルウェア ログで公開された資格情報データを検索する

パラメーター

名前 キー 必須 説明
ドメイン
domains array of string

検索するドメインの一覧

Credential type
domain_type string

資格情報を選択する

送信者
latest_downloaded_gte string

YYYY-MM-DD (今日まで)

資格情報プロパティ
properties array of string

資格情報プロパティのフィルター

Breach name
name string

E.g. Cit0day

Breaches from
date string

YYYY-MM-DD (今日まで)

Dump name
name string

E.g. XSS.は Dump 2021 です

Dumps from
date string

YYYY-MM-DD (今日まで)

オフセット
offset string

オフセットからのレコード

結果
limit number

結果の最大数

戻り値

名前 パス 説明
Credential dumps
credential_dumps array of string

データ ダンプで公開されている資格情報のリスト

Malware logs
malware_logs array of object

マルウェアログを通じて公開された資格情報のリスト

ログイン
malware_logs.login string

ログイン ユーザー名

ドメイン
malware_logs.domain string

ログイン ドメイン

カウント
count number

返される資格情報の数

次のオフセット
next_offset string

成功したレコードを要求するために使用するオフセット

資格情報の検索 - 1 人以上のユーザーの資格情報データを検索します

特定の主題のセットについて公開された資格情報データを検索する

パラメーター

名前 キー 必須 説明
メール
subjects array of string

検索する電子メール アドレスの一覧

ハッシュ済み電子メール
subjects_sha1 array of string

検索するハッシュされた電子メール アドレスの一覧

Username
login string

ユーザー名またはユーザー名のハッシュを入力します

Hash of username
login_sha1 string

ユーザー名またはユーザー名のハッシュを入力します

ドメイン
domain string

domain.com

送信者
first_downloaded_gte string

YYYY-MM-DD (今日まで)

資格情報プロパティ
properties array of string

資格情報プロパティのフィルター

Breach name
name string

E.g. Cit0day

Breaches from
date string

YYYY-MM-DD (今日まで)

Dump name
name string

E.g. XSS.は Dump 2021 です

Dumps from
date string

YYYY-MM-DD (今日まで)

戻り値

名前 パス 説明
Exposed credentials
exposed_credentials array of object

公開された資格情報の一覧

署名
exposed_credentials.signature string

要求された署名

exposed_secret_format
exposed_credentials.exposed_secret_format string

公開されたシークレットのフォーマット。 ハッシュ アルゴリズムまたはクリアテキストのクリア。

first_seen
exposed_credentials.first_seen string

署名が最初に公開された日付

last_seen
exposed_credentials.last_seen string

署名が最後に公開された日付

clear_text_hint
exposed_credentials.clear_text_hint string

公開された秘密の最初の 2 文字。 クリアテキストで公開されたシークレットでのみ使用可能

secret_properties
exposed_credentials.secret_properties array of string

クリアテキストのプロパティ

secret_rank
exposed_credentials.secret_rank string

パスワードが含まれている一般的なパスワード コレクション

secret_hashes
exposed_credentials.secret_hashes array of object
アルゴリズム
exposed_credentials.secret_hashes.algorithm string

キーを使ったハッシュ アルゴリズム

ハッシュ
exposed_credentials.secret_hashes.hash string

ハッシュ値

Malware family
exposed_credentials.malware_family string

資格情報の抽出に使用されるマルウェアのファミリー

ダンプ
exposed_credentials.dumps array of object

署名が含まれているデータ ダンプの一覧。

名前
exposed_credentials.dumps.name string

ダンプの名前

説明
exposed_credentials.dumps.description string

ダンプの説明

ダウンロード済
exposed_credentials.dumps.downloaded string

ダンプがダウンロードされた日付

種類
exposed_credentials.dumps.type string

ダンプの種類

侵害
exposed_credentials.dumps.breaches array of object

ダンプに関連するデータ侵害のリスト

名前
exposed_credentials.dumps.breaches.name string
ドメイン
exposed_credentials.dumps.breaches.domain string
種類
exposed_credentials.dumps.breaches.type string
ブリーチド
exposed_credentials.dumps.breaches.breached string
開始
exposed_credentials.dumps.breaches.start string
停止
exposed_credentials.dumps.breaches.stop string
プレシジョン
exposed_credentials.dumps.breaches.precision string
説明
exposed_credentials.dumps.breaches.description string
site_description
exposed_credentials.dumps.breaches.site_description string