Recorded Future Identity
レコーデッド フューチャー アイデンティティ インテリジェンス コネクターを使用すると、セキュリティチームと IT チームは、従業員と顧客の両方の ID の侵害を検出できます。 これを行うために、レコーデッド フューチャーは、さまざまなソースからの ID インテリジェンスの収集、分析、および生成を自動化します。 このコネクタを介して、組織は ID インテリジェンスを、Azure Active Directory や Microsoft Sentinel のようなアプリケーションを使用した自動ワークフロー (パスワードのリセットなど) に組み込むことができます。
このコネクタは、次の製品および地域で利用可能です:
| サービス | クラス | リージョン |
|---|---|---|
| Logic Apps | 標準 | すべての Logic Apps 地域 |
| Power Automate | Premium | すべての Power Automate 地域 |
| Power Apps | Premium | すべての Power Apps 地域 |
| お問い合わせ先 | |
|---|---|
| 件名 | Recorded Future サポート |
| [URL] | https://support.recordedfuture.com |
| メール | support@recordedfuture.com |
| Connector Metadata | |
|---|---|
| 発行者 | レコーデッド フューチャー |
| Web サイト | https://www.recordedfuture.com |
| プライバシー ポリシー | https://www.recordedfuture.com/privacy-policy/ |
| カテゴリー | AI; データ |
前提条件
Microsoft Azure でレコーデッド フューチャー アイデンティティ コネクターを有効にするには、ユーザーはレコーデッド フューチャー API トークンをプロビジョニングする必要があります。
資格情報の入手方法
必要な API トークンを取得するには、レコーデッド フューチャー アカウント マネージャーに連絡してください。
コネクタの使用を開始する
コネクタには 2 つのアクションがあります。
- 資格情報の検索 - このアクションを使用して、内部アカウントと外部アカウントの両方の公開された資格情報を一覧表示します。 外部アカウント検索は、マルウェア ログで侵害された資格情報に対してのみ可能であり、認証 URL ドメインによる検索が可能であることに注意してください。
- 資格情報検索 - このアクションを使用して、特定のアカウントの公開された資格情報に関する詳細情報を取得します。 これには、資格情報がそのようなコレクション、ダウンロード日、パスワード分析で見つかった場合のダンプまたは違反の詳細が含まれ、マルウェアログで見つかった場合は、侵入日、使用されたマルウェアの種類、認証 URL、その他多くの属性などの追加情報が含まれます。
このコネクタの推奨される使用例は次のとおりです。内部または「従業員」のセキュリティの場合:定期的に(たとえば、1日1回または1週間に1回)、このレコーデッド フューチャー インテリジェンス コネクタを使用して、「新しい」従業員を検索します。最近公開された可能性のある資格情報。 そのような資格情報が見つかったら、検索アクションを使用して、侵害された資格情報に関する詳細を取得します。 または、疑わしい従業員の行動に気付いた場合 (たとえば、珍しい地理的な場所からのログイン、営業時間外の大量の情報のダウンロード)、レコーデッド フューチャーアイデンティティ インテリジェンス コネクタ検索アクションを使用して、そのユーザーが以前のダンプまたはマルウエア ログで公開された資格情報を持っているかどうかを確認します。 考えられる修正と次の手順 (このコネクタとそれに関連するワークフローの下流で設定) には、パスワードのリセット、ユーザー特権の取り消し、資格侵害の履歴のログ記録、MFA の設定、ユーザーの検疫などがあります。 上級チームは、システム全体の使用状況を追跡するために、脅威アクターによる乗っ取りの疑いのあるユーザーにフラグを立てることもできます。 外部または "顧客" のセキュリティの場合: 上記の 1a と同様に、レコーデッド フューチャーアイデンティティ インテリジェンス マルウェアログで、資格情報が侵害された特定の認証ドメイン (この組織に属する) を定期的に検索できます。 別の使用例: 新しい顧客アカウントの作成中に、レコーデッド フューチャーアイデンティティ インテリジェンス モジュールを使用して、ユーザー名および/またはユーザー名/パスワードのペアが以前に侵害されたかどうかを確認します。別の使用例: 顧客のログイン中に、レコーデッド フューチャーアイデンティティ インテリジェンス モジュールを確認します。ユーザー名とパスワードのペアが危険にさらされているかどうか考えられる解決策には、パスワードのリセットを要求するか、アカウントを一時的にロックダウンして、ユーザーの再認証プロセスについてユーザーの連絡先顧客サービスを要求することが含まれます。
一般的なエラーと解決策
次のエラーコードは、通常、コネクタ アクションによって返されます。
- 400 不正な要求 - サーバーが、パラメーターの形式が不適切な要求など、誤った要求を受信した場合に返されます。
- 403 無効です - 提供された API トークンに十分なアクセス権がない場合、またはユーザーがレコーデッド フューチャーで自分のものとして認識されていないドメインに属する公開された資格情報にアクセスしようとした場合に返されます。 これらの問題は両方とも、アカウント マネージャーに連絡することで解決されます。
接続を作成する
このコネクタは、次の認証タイプをサポートしています:
| 既定 | 接続を作成するためのパラメーター。 | すべての地域 | 共有不可 |
既定
適用できるもの: すべての領域
接続を作成するためのパラメーター。
これは共有可能な接続ではありません。 パワー アプリが別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。
| 名前 | タイプ | 説明 | 必須 |
|---|---|---|---|
| API Key | securestring | この API のキー | True |
調整制限
| 名前 | 呼び出し | 更新期間 |
|---|---|---|
| 接続ごとの API 呼び出し | 100 | 60 秒 |
アクション
| 資格情報の検索 - 1 つ以上のドメインの資格情報データを検索する |
データ ダンプやマルウェア ログで公開された資格情報データを検索する |
| 資格情報の検索 - 1 人以上のユーザーの資格情報データを検索します |
特定の主題のセットについて公開された資格情報データを検索する |
資格情報の検索 - 1 つ以上のドメインの資格情報データを検索する
データ ダンプやマルウェア ログで公開された資格情報データを検索する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
ドメイン
|
domains | array of string |
検索するドメインの一覧 |
|
|
Credential type
|
domain_type | string |
資格情報を選択する |
|
|
送信者
|
latest_downloaded_gte | string |
YYYY-MM-DD (今日まで) |
|
|
資格情報プロパティ
|
properties | array of string |
資格情報プロパティのフィルター |
|
|
Breach name
|
name | string |
E.g. Cit0day |
|
|
Breaches from
|
date | string |
YYYY-MM-DD (今日まで) |
|
|
Dump name
|
name | string |
E.g. XSS.は Dump 2021 です |
|
|
Dumps from
|
date | string |
YYYY-MM-DD (今日まで) |
|
|
オフセット
|
offset | string |
オフセットからのレコード |
|
|
結果
|
limit | number |
結果の最大数 |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Credential dumps
|
credential_dumps | array of string |
データ ダンプで公開されている資格情報のリスト |
|
Malware logs
|
malware_logs | array of object |
マルウェアログを通じて公開された資格情報のリスト |
|
ログイン
|
malware_logs.login | string |
ログイン ユーザー名 |
|
ドメイン
|
malware_logs.domain | string |
ログイン ドメイン |
|
カウント
|
count | number |
返される資格情報の数 |
|
次のオフセット
|
next_offset | string |
成功したレコードを要求するために使用するオフセット |
資格情報の検索 - 1 人以上のユーザーの資格情報データを検索します
特定の主題のセットについて公開された資格情報データを検索する
パラメーター
| 名前 | キー | 必須 | 型 | 説明 |
|---|---|---|---|---|
|
メール
|
subjects | array of string |
検索する電子メール アドレスの一覧 |
|
|
ハッシュ済み電子メール
|
subjects_sha1 | array of string |
検索するハッシュされた電子メール アドレスの一覧 |
|
|
Username
|
login | string |
ユーザー名またはユーザー名のハッシュを入力します |
|
|
Hash of username
|
login_sha1 | string |
ユーザー名またはユーザー名のハッシュを入力します |
|
|
ドメイン
|
domain | string |
domain.com |
|
|
送信者
|
first_downloaded_gte | string |
YYYY-MM-DD (今日まで) |
|
|
資格情報プロパティ
|
properties | array of string |
資格情報プロパティのフィルター |
|
|
Breach name
|
name | string |
E.g. Cit0day |
|
|
Breaches from
|
date | string |
YYYY-MM-DD (今日まで) |
|
|
Dump name
|
name | string |
E.g. XSS.は Dump 2021 です |
|
|
Dumps from
|
date | string |
YYYY-MM-DD (今日まで) |
戻り値
| 名前 | パス | 型 | 説明 |
|---|---|---|---|
|
Exposed credentials
|
exposed_credentials | array of object |
公開された資格情報の一覧 |
|
署名
|
exposed_credentials.signature | string |
要求された署名 |
|
exposed_secret_format
|
exposed_credentials.exposed_secret_format | string |
公開されたシークレットのフォーマット。 ハッシュ アルゴリズムまたはクリアテキストのクリア。 |
|
first_seen
|
exposed_credentials.first_seen | string |
署名が最初に公開された日付 |
|
last_seen
|
exposed_credentials.last_seen | string |
署名が最後に公開された日付 |
|
clear_text_hint
|
exposed_credentials.clear_text_hint | string |
公開された秘密の最初の 2 文字。 クリアテキストで公開されたシークレットでのみ使用可能 |
|
secret_properties
|
exposed_credentials.secret_properties | array of string |
クリアテキストのプロパティ |
|
secret_rank
|
exposed_credentials.secret_rank | string |
パスワードが含まれている一般的なパスワード コレクション |
|
secret_hashes
|
exposed_credentials.secret_hashes | array of object | |
|
アルゴリズム
|
exposed_credentials.secret_hashes.algorithm | string |
キーを使ったハッシュ アルゴリズム |
|
ハッシュ
|
exposed_credentials.secret_hashes.hash | string |
ハッシュ値 |
|
Malware family
|
exposed_credentials.malware_family | string |
資格情報の抽出に使用されるマルウェアのファミリー |
|
ダンプ
|
exposed_credentials.dumps | array of object |
署名が含まれているデータ ダンプの一覧。 |
|
名前
|
exposed_credentials.dumps.name | string |
ダンプの名前 |
|
説明
|
exposed_credentials.dumps.description | string |
ダンプの説明 |
|
ダウンロード済
|
exposed_credentials.dumps.downloaded | string |
ダンプがダウンロードされた日付 |
|
種類
|
exposed_credentials.dumps.type | string |
ダンプの種類 |
|
侵害
|
exposed_credentials.dumps.breaches | array of object |
ダンプに関連するデータ侵害のリスト |
|
名前
|
exposed_credentials.dumps.breaches.name | string | |
|
ドメイン
|
exposed_credentials.dumps.breaches.domain | string | |
|
種類
|
exposed_credentials.dumps.breaches.type | string | |
|
ブリーチド
|
exposed_credentials.dumps.breaches.breached | string | |
|
開始
|
exposed_credentials.dumps.breaches.start | string | |
|
停止
|
exposed_credentials.dumps.breaches.stop | string | |
|
プレシジョン
|
exposed_credentials.dumps.breaches.precision | string | |
|
説明
|
exposed_credentials.dumps.breaches.description | string | |
|
site_description
|
exposed_credentials.dumps.breaches.site_description | string |