ラボ 19 - AWS ELB データ用 Threat Intel アプリケーションのインストール
Threat Intel アプリケーションを使用すると、CrowdStrike の脅威インテリジェンス データを自身のログ データに関連付けて、リアルタイムのセキュリティ アナリティクスによって脅威を検出することができます。特に、ファイル名、URL、ドメイン、ハッシュ 256、およびメールに基づいて脅威をスキャンします。
Threat Intel アプリケーションはデータ セット全体に対してインストールすることもできますが、パフォーマンスの関係上、推奨されません。最良の方法は、特定の Source に対してのみアプリケーションをインストールすることです。必要であれば、相関させたい Source ごとにアプリケーションを何度でもインストールできます。このラボでは、ELB データ (AWS の負荷分散サービス) に対して Threat Intel アプリケーションをインストールします。
-
[App Catalog (App カタログ)] で [Threat Intel Quick Analysis (Threat Intel クイック分析)] アプリケーションを探します。
-
アプリケーションを選択して [Add to Library (ライブラリに追加)] をクリックします。
-
[App Name (App 名)] に、「Threat Intel - AWS ELB」と入力します。
-
_sourceCategory に、「Labs/AWS/ELB」と入力します。
-
[Advanced (詳細設定)] で [Personal (個人用)] > [Apps (アプリケーション)] の順に選択し、最後に [Add to Library (ライブラリに追加)] をクリックします。
-
これにより、新しいフォルダの Personal/Apps/Threat Intel - AWS ELB とクエリが作成され、さらにそのソース用のダッシュボードが作成されます。
-
[Threat Intel Quick Analysis - Overview (Threat Intel クイック分析 - 概要)] ダッシュボードを開きます。ほとんどのパネルにはデータが表示されていません。
-
いずれかの [Dashboard (ダッシュボード)] パネルをクリックすると、その背景にあるクエリが表示されます。クエリを変更したときは、[Update Dashboard (ダッシュボードの更新)] をクリックすることで、元のダッシュボードに変更内容を保存できます。
-
このコンテンツを他のユーザを共有したい場合は、ライブラリから Threat Intel フォルダを選択します。右側にある 3 点アイコンをクリックすると、[Share (共有)] などの操作メニューが開きます。