目次
脅威インテリジェンスプラットフォームとは何か?
脅威インテリジェンスPlatform (TIP)は、複数のソースからの新たな脅威や既存の脅威に関する生データを集約する技術ソリューションです。このデータを処理・分析して実用的な洞察を生み出し、組織のセキュリティ態勢を改善します。
TIPは、迅速な意思決定に必要なコンテキストをセキュリティチームに提供します。これらのプラットフォームは、情報収集の簡素化、ノイズの排除、脅威の優先順位付けを行い、組織が潜在的リスクに効果的に対応できるよう支援します。脅威の統合的なビューを提供することで、TIPはプロアクティブな脅威管理とミティゲーションを可能にします。(関連コンテンツ:脅威インテリジェンスツールのガイドを読む)
セキュリティチームは、自動化されたワークフローと実用的なインテリジェンスを活用することで、検知と対応の時間を短縮するためにこれらのプラットフォームを使用しています。サイバー脅威が進化する中、TIPはセキュリティ対策を適応させるために不可欠です。TIPの主な機能は、データを組織のセキュリティ・インフラ全体で活用できる有意義な脅威インテリジェンスに変換することです。
これは、サイバー脅威インテリジェンスに関する一連の記事の一部である。
この記事の中で
- 脅威インテリジェンスプラットフォームの主要コンポーネント
- 脅威インテリジェンスプラットフォームの利点
- 脅威インテリジェンス機能を備えた脅威検知および対応ソリューション(関連コンテンツ:脅威ハンティングと脅威インテリジェンスのガイドをお読みください)
- 専用脅威インテリジェンスプラットフォーム
脅威インテリジェンスプラットフォームの主要コンポーネント
データ収集と集計
データの収集と集約は、脅威インテリジェンス・プラットフォームの基盤である。これらのプラットフォームは、オープンソースインテリジェンス、商用データフィード、内部ネットワークセンサーなど、さまざまなソースから情報を収集する。主な目標は、潜在的な脅威の包括的なビューを作成することです。
多様な情報源からデータを収集することにより、TIPsは安全保障上のリスクを示すパターンや異常を特定することができる。この収集プロセスは、データの妥当性と適時性を確保するために効率的でなければならない。集計の要素には、データを統一された形式に統合し、その後の分析を容易にすることが含まれる。
データ分析処理
リアルタイムのモニタリングとアラート機能により、潜在的な脅威を即座に検知します。この機能は、ネットワークやシステム全体のアクティビティを継続的に追跡し、不審な挙動があれば即座に特定できるようにします。即座にアラートを提供することで、企業はインシデントに即座に対応し、データ漏洩や不正アクセスによる重大な損害を未然に防ぐことができます。
この機能は、セキュリティ侵害時に重要な応答時間を大幅に短縮する。リアルタイム・システムはまた、監査目的でインシデントの包括的なログと記録を提供するため、組織がコンプライアンス要件を満たすことを可能にする。
インシデントレスポンスとフォレンジック機能
データが収集されると、分析と処理のフェーズで、実用的な洞察に変換されます。TIPは、機械学習アルゴリズムと高度な分析を採用し、生のデータセットから傾向を特定し、価値ある情報を抽出します。これらの分析ツールは、本物の脅威と偽陽性の区別に役立ち、セキュリティ担当者の作業負荷を軽減します。
データ処理では、データポイントを関連付け、侵害の指標を特定することで、リアルタイムの脅威検知をサポートします。分析フェーズでは、包括的なセキュリティ戦略にとって重要な、脅威行為者の動機や攻撃パターンなどのコンテキストを提供します。
脅威インテリジェンス普及
脅威インテリジェンスの普及は、処理された洞察が組織内の適切な利害関係者に確実に届くようにするために極めて重要です。TIPは、ITセキュリティチームから経営幹部まで、さまざまな対象者に合わせた自動化されたレポートとアラートシステムを通じて、これを可能にします。効果的な普及により、意思決定者が重要な情報にタイムリーにアクセスできるようになります。
拡散には、アラートの送信と、脅威インテリジェンスをSIEMやファイアウォールなどの既存のセキュリティ・システムに統合して防御策を自動的に実行することの両方が含まれます。この統合により、ワークフローが簡素化され、手動による介入が減り、防御措置が迅速化されます。
オートメーションとオーケストレーション
自動化とオーケストレーションはTIPの効率を大幅に改善します。自動化には、データ収集、相関、アラート生成などのルーチンタスクを人手を介さずに実行するようにTIPを構成することが含まれます。これにより、脅威の管理に必要な時間が短縮され、セキュリティチームは人間の判断が必要な複雑な問題に集中できるようになります。
オーケストレーションは、さまざまなセキュリティツールやプロセスを接続することで、自動化をさらに一歩進めます。TIPは他のセキュリティ・システムとシームレスに統合され、協調的で統一された防御メカニズムを構築する。これにより、自動化がさまざまなツールに分断されることなく、調和して機能するようになります。
脅威インテリジェンスプラットフォームの利点
脅威インテリジェンスプラットフォームは、組織のセキュリティ効果を向上させる運用上および戦略上のメリットをいくつか提供する。主なメリットは以下のとおりである:
- 脅威の可視性の向上:TIPは、内部および外部のソースからの脅威データを一元的なビューに統合し、セキュリティチームが攻撃のライフサイクルのより早い段階で、新たな脅威をより包括的に検知できるようにします。
- レスポンスタイムの短縮:自動化されたアラート、相関関係、プレイブックの実行により、検知からレスポンスまでの時間を短縮し、脅威の封じ込めとミティゲーションを迅速に行うことができます。
- 誤検知の削減:高度なアナリティクスとコンテキストを考慮した処理によりノイズを排除し、チームは真の脅威に集中することができ、アラートによる疲労を避けることができます。
- コラボレーションの強化: TIPはチーム間や外部パートナーとの情報共有をサポートし、連携を向上させ、集団的な脅威インテリジェンス活動を可能にする。
- リソースの有効活用:自動化によって反復作業が減り、セキュリティ・アナリストは価値の高い調査や戦略的プランニングに集中できるようになります。
- セキュリティインフラストラクチャとの統合:TIPはSIEM、SOARプラットフォーム、ファイアウォールなどの既存のツールと統合することで、現在のシステムをオーバーホールすることなくインテリジェンス主導の防御を可能にします。
脅威検知およびレスポンス・ソリューション 機能脅威インテリジェンス
1.エクサビーム
エクザビームは、セキュリティ情報・イベント管理(SIEM)ソリューションのリーディング・プロバイダーであり、UEBA、SIEM、SOAR、TDIRを組み合わせ、セキュリティ・オペレーションを加速します。同社のセキュリティ・オペレーション・プラットフォームは、セキュリティ・チームが脅威を迅速に検知、調査、対応し、運用効率を高めることを可能にします。
主な特徴
- スケーラブルなログ収集と管理:オープンプラットフォームは、ログのオンボーディングを70%高速化し、高度なエンジニアリングスキルを不要にすると同時に、ハイブリッド環境全体でシームレスなログ集約を実現します。
- 行動分析:高度な分析により、正常な行動と異常な行動を比較し、内部脅威、横の動き、シグネチャベースのシステムで見落とされた高度な攻撃を検知します。Exabeamは、他のベンダーが攻撃を検知する前に90%の攻撃を検知し、対応することができると顧客から報告されています。
- 脅威対応の自動化:インシデントのタイムラインを自動化し、手作業を30%削減し、調査時間を80%短縮することで、セキュリティ運用を簡素化します。
- 状況に応じたインシデント調査:Exabeamはタイムラインの作成を自動化し、雑務に費やす時間を削減するため、脅威の検知と対応にかかる時間を50%以上短縮します。事前に構築された相関ルール、異常検知モデル、ベンダー統合により、アラートを60%削減し、誤検知を最小限に抑えます。
- SaaSおよびクラウドネイティブオプション:柔軟な導入オプションにより、クラウドファーストおよびハイブリッド環境に対応するスケーラビリティを提供し、お客様の価値実現までの時間を短縮します。SIEMをクラウドに移行できない、または移行したくない企業向けに、Exabeamは市場をリードするフル機能のセルフホスト型SIEMを提供します。
- NetMonによるネットワークの可視化:ファイアウォールやIDS/IPSを超える深い洞察力を提供し、データ盗難やボットネットの活動などの脅威を検出すると同時に、柔軟な検索により調査を容易にします。また、Deep Packet Analytics (DPA)は、NetMon Deep Packet Inspection (DPI)エンジンを基盤としており、重要な侵害指標(IOC)を解釈します。
エクサビームの顧客は、AIを活用したリアルタイムの可視化、自動化、生産性向上ツールによって、セキュリティ人材のレベルアップを図り、コスト削減と業界トップクラスのサポートを維持しながら、負担の大きいアナリストを積極的な防御者に変えていることを常に強調しています。
2.クラウドストライク ファルコンX
CrowdStrike Falcon Xは、エンドポイントプロテクションと統合することで、脅威の調査を自動化し、インシデント対応を迅速化するクラウド型の脅威インテリジェンスソリューションです。特定の環境で見られる脅威に合わせてカスタマイズされたIOC (Indicator of Compromise) と充実した脅威分析を提供します。
一般的な特徴
- クラウド提供型アーキテクチャ:オンプレミスのインフラを必要とせず、オンデマンドのスケーラビリティと迅速な導入を実現します。
- ファルコン・エンドポイント・プロテクションと統合:ファルコンのモジュールと直接連携し、統合されたエンドポイント検知、対応、脅威インテリジェンスを実現します。
- 調査の自動化:検出時にマルウェアの自動解析を開始することで、手作業を減らし、トリアージを迅速化します。
- カスタムIOCと脅威コンテキスト適切かつ的を絞った防御のために、侵害の指標(IOC)と脅威アクターへの帰属を生成します。
脅威インテリジェンス機能:
- マルウェアのサンドボックス化と分析疑わしいファイルを安全なクラウドサンドボックス内で自動的に爆発させ、挙動指標と脅威のコンテキストを抽出します。
- 脅威アクターのプロファイリング:CrowdStrikeの脅威インテリジェンスチームの知見を利用して、検出された脅威を既知の敵対グループにマッピングします。
- カスタマイズされたインテリジェンス組織の遠隔測定と暴露に基づく充実した脅威情報を提供し、優先順位付けをサポートします。
- 脅威グラフ相関:CrowdStrikeの脅威グラフを活用し、指標を文脈化し、検出精度を向上させます。
Source: CrowdStrike
3.IBM セキュリティ X フォース
IBM Security X-Force は、サイバー脅威の検出、防止、対応を支援する攻撃的なセキュリティ・プラットフォームです。ハッカー、研究者、インシデント対応担当者、アナリストからなるチームへのアクセスを提供し、インテリジェンス主導の保護を実現します。
一般的な特徴
- 脅威ハンティングとリサーチ継続的な脅威リサーチを通じて、敵の行動や新たな脅威に関する洞察を提供します。
- インシデント対応サービス:IBM のグローバル・レスポンス・チームを通じて、インシデント処理、侵害調査、復旧ガイダンスを提供します。
- マルウェア解析とリバースエンジニアリングマルウェアサンプルや脅威行為者が使用する手口の分析を行います。
脅威インテリジェンス機能:
- グローバルな脅威データベース:IOC、マルウェアシグネチャ、脅威行為者プロファイルの独自データベースにアクセスします。
- ダークウェブの監視アンダーグラウンドフォーラムやダークウェブマーケットプレイスからインテリジェンスを収集し、標的型攻撃の早期警告を行う。
- アラートとレポート組織のリスクプロファイルに合わせた実用的なアラートと脅威サマリーを送信します。
- IBM QRadarとの統合:SIEMワークフロー内での脅威インテリジェンスの運用を可能にします。
Source: IBM
4.テナブルセキュリティセンター
テナブル・セキュリティ・センターは、組織のサイバー・リスクを可視化することを目的としたオンプレミス型の脆弱性管理プラットフォームです。組み込みの脅威インテリジェンスと予測的優先順位付けにより、重要なエクスポージャの検出を可能にすることを目的としています。
一般的な特徴
- 脆弱性の一元管理Nessusや他のセンサーからのスキャンデータを集約し、統合されたリスク概要を提供。
- 継続的なネットワーク監視IT資産、脆弱性、ネットワークの変化をリアルタイムで追跡。
- カスタムダッシュボードとレポート:コンプライアンスやエグゼクティブサマリーなど、さまざまなステークホルダー向けにカスタマイズ可能なビューを提供します。
- 役割ベースのアクセス制御:詳細なユーザー権限により、適切なユーザーが適切なデータにアクセスできるようにします。
脅威インテリジェンス機能:
- 脅威インテリジェンスを内蔵:テナブルリサーチおよび外部フィードからの脅威コンテキストにより、脆弱性データを強化します。
- 予測的優先順位付け:機械学習を使用してCVEと実際の脅威データを関連付け、悪用の可能性に基づいて問題の優先順位を決定します。
- 攻撃経路分析:脆弱性を通過する潜在的な攻撃者の経路をマッピングし、重要な露出ポイントを強調します。
- SIEMおよび発券システムとの統合:自動化されたリスクワークフローとインシデントレスポンスをサポートします。
Source: Tenable
5.サイブルビジョン
Cyble Visionは、企業全体のデジタル、物理、サードパーティのリスクを統合的に把握できるプラットフォームです。さまざまなサイバー脅威から組織を保護するために設計され、モニタリング、脅威要因やダークウェブの可視化、防御戦略をサポートするインテリジェンスを提供します。
一般的な機能
- デジタルリスク保護:ブランドのなりすまし、データ漏洩、クレデンシャルの漏洩など、さまざまなリスクに対応。
- サードパーティリスクモニタリング:ベンダーやパートナーのエクスポージャーを追跡し、サプライチェーンの回復力を高める。
- カスタムアラートとダッシュボードユーザーの設定に基づき、脅威の最新情報とリスク指標を配信します。
脅威インテリジェンス機能:
- ダークウェブとサーフェスウェブの監視フォーラム、マーケットプレイス、ソーシャルメディアを継続的にスキャンし、新たな脅威を検出します。
- 脅威行為者の追跡攻撃者のプロファイル、TTP(戦術、技術、手順)、標的産業に関する洞察を提供します。
- IOCとTTPの相関:脅威データをマルウェアの指標や行動パターンと結びつけ、より深く分析します。
- APIとツールの統合:SOAR、SIEM、チケッティングツールとの統合をサポートし、脅威データのワークフローを充実させます。
6.Rapid7 脅威コマンド
Rapid7 Threat Commandは、外部脅威防御プラットフォームであり、組織を標的とする脅威について、サーフェス、ディープ、ダークウェブソースを継続的に監視し、アラートとコンテキストに基づく洞察を提供します。
一般的な特徴
- デジタルリスク保護:フィッシング・ドメイン、クレデンシャルの漏洩、ブランドの不正使用などのリスクを特定します。
- 脅威のモニタリング組織を標的とする脅威について、ウェブとダークウェブを継続的にスキャンする。
- 自動化されたアラートとトリアージ:脅威の検出、状況把握、エスカレーションを自動化することで、手作業を削減します。
- ユーザー重視のインターフェース:カスタマイズ可能なアラートと修復に関する洞察を備えたダッシュボードを提供します。
脅威インテリジェンス機能:
- サーフェス、ディープ、ダークウェブのインテリジェンスさまざまなオンラインソースからデータを収集し、脅威を早期に検知します。
- コンテクスチュアル・エンリッチメント:脅威要因、戦術、キャンペーン履歴に関する情報を追加し、実用的な洞察を提供します。
- カスタマイズされた脅威インテリジェンス:インテリジェンス・フィードを特定の組織資産やドメインに整合させます。
- セキュリティ・エコシステムの統合:SOARプラットフォーム、SIEM、その他のツールと接続し、自動化された防御アクションを可能にする。
Source: Rapid7
専用脅威インテリジェンスプラットフォーム
7.スレットコネクト
ThreatConnectは、組織がレガシーな脅威インテリジェンス・ツールを超えるための脅威インテリジェンス・オペレーション(TI Ops)プラットフォームです。脅威データを統合し、ワークフローを自動化し、AIを活用した分析を統合することで、より迅速で的確な脅威の検知と対応を可能にします。
主な特徴は以下の通り:
- 統合脅威インテリジェンス管理:多様なソースからの脅威データを一元化されたライブラリに取り込み、正規化することで、分析を簡素化します。
- AIを活用した分析:CAL™とATT&CKベースのAIモデルを使用して、脅威インテリジェンスを行動コンテキスト、コミュニティ知識、新しい脅威フィードで強化します。
- 自動化とプレイブック:手動による分析タスクを自動化するためのエンリッチメント・ツールとローコード・プレイブックを提供。
- 可視化ツール:ATT&CK VisualizerやThreat Graphなどのツールにより、攻撃者の行動をマッピングし、迅速な分析とパターン認識を可能にします。
- インテリジェンス要件管理:CTIチームが、インテリジェンス作成と安全保障業務、指導者、リスク管理のニーズとの整合性を図るのを支援します。
Source: ThreatConnect
8.記録された未来
Recorded Futureは、組織が脅威を特定し、優先順位を付け、対応できるよう支援するAI主導の脅威インテリジェンス・プラットフォームです。Intelligence Cloud上に構築されたこのプラットフォームは、ダークウェブ、技術ソース、顧客テレメトリなど、インターネット全体から大量のデータを自動収集・分析し、洞察を提供します。
主な特徴は以下の通り:
- インテリジェンスグラフ:敵対勢力、インフラ、ターゲットにまたがるグローバルな脅威データを継続的に収集、リンク、分析し、構造化されたインテリジェンスを生成します。
- 自動分析:AIを活用してインテリジェンス・サイクルを自動化し、脅威の迅速な検知、分析、拡散を可能にする。
- データカバレッジ:オープンウェブ、ダークウェブ、テクニカルソース、内部テレメトリからデータを取り込み、脅威の可視性を提供します。
- Recorded Future AI:自然言語インターフェースとAIを活用した自動化により、調査と対応を加速し、アナリストの作業負荷を軽減します。
- 集団的洞察:グローバルな顧客と社内環境にわたる脅威データを相関させ、検知精度を向上させます。
9.Anomali ThreatStream
Anomali ThreatStream は、セキュリティインフラ全体の脅威データを集約、強化、運用するために設計された脅威インテリジェンスプラットフォームです。AIと自然言語処理を統合し、脅威の検知と対応プロセスを自動化します。
主な特徴は以下の通り:
- カスタマイズされた脅威インテリジェンスリポジトリ:さまざまなソースからの脅威データのコレクションへのアクセスを提供します。
- AIとNLPの統合:人工知能と自然言語処理を使用して、脅威の検出を改善し、分析ワークフローを自動化します。
- 脅威インテリジェンス・ライフサイクルの自動化:セキュリティ・システム全体にわたる脅威インテリジェンスの収集、分析、配布のプロセスを簡素化します。
- セキュリティ・ツールとの統合:SIEM、ファイアウォール、エンドポイント・プロテクション・プラットフォームなど、既存のセキュリティ・インフラストラクチャと接続できます。
- カスタマイズ可能なダッシュボードとレポート:脅威の状況を監視し、セキュリティに関する意思決定を行うための、カスタマイズされた可視化とレポートを提供します。
Source: Anomali
10.脅威指数 ThreatQuotient
ThreatQは、企業が脅威データを効率的に集約、分析、対処できるようにする脅威インテリジェンス・プラットフォームです。データ駆動型のアプローチにより、インシデントレスポンス、脅威ハンティング、脆弱性管理など、さまざまなユースケースをサポートします。
主な特徴は以下の通り:
- 脅威ライブラリの一元化:複数のソースからの脅威インテリジェンスを統合リポジトリに集約。
- カスタマイズ可能なスコアリングと優先順位付け:ユーザーが脅威スコアリングのパラメータを定義することで、関連性と重大性に基づく脅威の優先順位付けを支援します。
- 自動化とオーケストレーション:脅威インテリジェンスワークフローの自動化をサポートし、手作業を削減します。
- 統合エコシステム:450以上のセキュリティツールやフィードとの統合をサポート。
- 共同調査ワークスペース:セキュリティチームが脅威を調査し、対応するための共有環境を提供します。
Source: ThreatQuotient
結論
脅威インテリジェンス・プラットフォームは、膨大な量の生の脅威データを実用的な洞察に変換することで、組織のサイバーセキュリティ防御の強化を支援します。自動化、文脈分析、既存システムとの統合により、脅威の検知、分析、対応を簡素化します。インテリジェンス・オペレーションを一元化し、新たなリスクに対する可視性を高めることで、TIPはセキュリティ・チームが決断的かつ効率的に行動できるよう支援します。
その他のサイバー脅威インテリジェンス
