目次
脅威インテリジェンスソフトウェアとは?
脅威インテリジェンス・ソフトウェアは、組織のITインフラに対する潜在的脅威に関する実用的な情報を収集、分析、実装します。サイバー攻撃、マルウェア、脆弱性など、さまざまなソースからのデータを照合し、パターンを検出して将来の脅威を予測します。
これらの洞察は、リスクを軽減し、セキュリティ対策を改善するための情報に基づいた意思決定に役立つ。このソフトウェアにより、組織は過去のデータとリアルタイムのデータを活用することで、脅威に対応し、脅威を予測・準備することができます。
脅威インテリジェンス・ソフトウェアは、既存のセキュリティ対策やツールと統合して、組織の防御メカニズムを強化します。脅威の検出と対応の多くの側面を自動化できるため、潜在的なサイバーセキュリティ・インシデントに対する迅速な対応が可能になります。最も重要なことは、組織に特有の関連性と重大性の観点から脅威を文脈化するのに役立つことです。
これは、サイバー脅威インテリジェンスに関する一連の記事の一部である。
オンプレミス・サイバー脅威インテリジェンスソフトウェアの種類
オンプレミスのサイバー脅威インテリジェンス・ソフトウェアにはいくつかの形態があり、それぞれ組織のインフラにおける脅威の検知と対応の異なる側面に対応するように設計されている。以下に主な種類を紹介する。
セキュリティ情報・イベント管理(SIEM)システムと脅威インテリジェンスの統合
シーイーエムシステムは、ネットワーク上の様々なソースからログデータを収集・分析します。脅威インテリジェンス・フィードで強化すると、ネットワーク・イベントと、悪意のあるIPアドレス、ファイル・ハッシュ、ドメイン名などの既知の脅威インジケータを関連付けることができます。この統合は、標的型攻撃の検出や、ネットワーク・セキュリティの強化に役立ちます。内部脅威コンテクスチュアルな脅威データに基づくリアルタイムのアラートを提供する。
脅威インテリジェンスプラットフォーム(TIPs)
TIPは、外部および内部の複数のソースから脅威インテリジェンスを収集、集約、管理するために設計された専用ツールです。TIPは、セキュリティチームが脅威の優先順位付けを行い、アラートにコンテキスト情報を付加し、セキュリティツール間でインテリジェンスを共有するのに役立ちます。オンプレミスのTIPは、組織がデータを完全に管理できるため、データ主権に関する要件が厳しい業界に適しています。
インテリジェンス・モジュールを備えたエンドポイント検出・応答(EDR)ツール
EDR ソリューションは、エンドポイントの不審な行動を監視し、エンドポイントの行動を詳細に可視化します。一部のオンプレミス型 EDR ツールには脅威インテリジェンス・モジュールが統合されており、エンドポイントの活動を既知の脅威インジケータと関連付けることで、高度な持続的脅威(APT)やマルウェア亜種の特定に役立ちます。
ネットワークトラフィック解析(NTA)ソリューション
NTAツールは、ネットワーク・トラフィックの異常や既知の攻撃パターンを監視します。脅威インテリジェンス・フィードと組み合わせることで、これらのツールは、コマンド・アンド・コントロール通信、横移動、データ流出の試みなどの脅威を検出することができます。オンプレミスの導入により、機密性の高いネットワーク・データを組織内に残すことができます。
脅威インテリジェンスデータベースとリポジトリ
これらのデータベースは、IOC(indicator of compromise:侵害の指標)、TTP(tactics, techniques, and procedures:戦術、技術、手順)、攻撃者のプロファイルなどの脅威インテリジェンス・データを蓄積するスタンドアロン・システムです。セキュリティ・チームは、これらのデータベースを使用して、インシデントを手動で調査したり、他のセキュリティ・ツールからのアラートを充実させたりします。
関連コンテンツ脅威インテリジェンスツールのガイドを読む(近日公開予定)
SIEM およびログ管理プラットフォーム脅威インテリジェンスモジュール
1.エクサビーム
Exabeamは、SIEM、UEBA、SOAR、脅威検知・調査・対応(TDIR)機能を統合し、オンプレミス環境とハイブリッド環境における脅威インテリジェンスの運用を実現するセキュリティ・オペレーション・プラットフォームです。このプラットフォームは、組織のインフラ全体からログとテレメトリを取り込み、このデータを外部の脅威インテリジェンスと相関させ、行動分析を使って、内部脅威、クレデンシャルの漏洩、横の動きを示す可能性のある異常なアクティビティを特定します。
一般的な特徴
- オンプレミス環境とクラウド環境のログ管理と分析を一元化
- イベントを明確な攻撃シナリオに統合する自動化された脅威のタイムライン
- ファイアウォール、EDR、SOARソリューションなど、既存のセキュリティ・ツールとの統合
- オンプレミス、クラウド、ハイブリッド環境に対応する柔軟な導入オプション
脅威インテリジェンス機能:
- 行動分析と異常検知により、シグネチャやルールベースの検知を回避する脅威を表面化。
- IOCと攻撃者のTTPに関する豊富なコンテキストのための内部および外部情報フィードとの相関関係
- 調査およびトリアージの自動化により、手作業を減らし、対応時間を短縮。
- サイロを作ることなく、SOCエコシステム全体で脅威インテリジェンスを共有するオープンな統合モデル
Exabeam脅威インテリジェンスと検知・対応ワークフローを統合し、オンプレミスやハイブリッドのSOCにおいて迅速な調査を可能にし、アラートによる疲労を軽減することを求める企業によって選択されることが多い。
2.グレイログ
Graylog Openは、IT環境全体から大量のログデータを集約、検索、分析するための自己管理型のオープンソースログ管理プラットフォームです。SSPLライセンスの下で構築され、ベンダーロックインなしにログ管理を一元化したい組織に柔軟性と制御性を提供します。
一般的な特徴
- ログの取り込み:ボリュームの制約を気にすることなくログを収集し、システムとアプリケーションのアクティビティを可視化します。
- ログ表示:アクティブなモニタリングとチーム間のコミュニケーションをサポートするインターフェイスを使用してログを可視化します。
- カスタム・ダッシュボードとレポート:リアルタイム・モニタリング用のカスタム・ダッシュボードを作成したり、分析やコンプライアンス目的の詳細なレポートを作成することができます。
- 拡張可能なデータ収集:様々なデータソースからの収集をサポートし、プラグインやコミュニティとの統合によるカスタマイズを可能にします。
脅威インテリジェンス機能:
- 検索と分析:問題の検出、インシデントの追跡、脅威への対応のために、クエリーを構築し、迅速に検索を実行します。
- カスタムアラートと通知:アラートルールを定義して重要なイベントを監視し、適切な関係者に自動的に通知します。
- インシデントの調査と対応一元化された検索可能なログデータを使用して、根本原因の分析を加速し、対応作業を簡素化します。
- 外部脅威フィードとの相関:外部脅威インテリジェンス・フィードを統合することで、ログ・データを充実させ、悪意のあるIPやファイル・ハッシュなどの既知の脅威インジケータの検出を向上させます。
- 異常検知:データ分析機能を使って、新たな脅威を示す可能性のある異常なパターンを検知する。
Source: Graylog
3.ManageEngine Log360 の脅威インテリジェンスプラットフォーム
ManageEngine Log360の脅威インテリジェンスプラットフォームは、脅威の検知とコンテキストに基づく洞察を組み合わせることで、セキュリティ運用を改善する統合ソリューションです。オープンソースおよび商用ソースからの脅威フィードを集約し、ブラックリストに登録されたIPをカバーすることで、ネットワーク全体の悪意のある活動を可視化します。
一般的な特徴
- リアルタイムの脅威検知:ブラックリストに登録されたIP、ドメイン、URLとの通信を特定し、防止します。
- 自動化された脅威対応:ファイアウォールを介して悪意のあるIPをブロックし、それ以上の通信を防止する自動ワークフローをサポートします。
- ログ管理:ネットワーク機器、サーバー、アプリケーション全体のログを収集、保存、分析します。
- コンプライアンスレポート:GDPR、HIPAA、PCI DSSなどの基準を満たすためのレポートがあらかじめ用意されています。
脅威インテリジェンス機能:
- 統合された脅威フィードの集約:Webroot BrightCloud®などのパートナーからのフィードを含む、オープンソースと商用のインテリジェンスを統合。
- コンテキストに基づく脅威の洞察:IPジオロケーション、攻撃手法、レピュテーションスコアなどの詳細を提供し、アラートと調査を強化します。
- 脅威分析アドオン:マルウェア、フィッシング、その他の攻撃タイプを検出し、重大度とリスクに基づいてアラートをトリアージします。
- リアルタイムのIOC照合:入力されるログ・データとネットワーク・アクティビティを継続的に監視し、既知のIOCとの照合を行うことで、チームは新たな脅威に迅速に対応することができます。
Source: ManageEngine
脅威インテリジェンスプラットフォーム
4.スレットコネクト
ThreatConnectは、脅威データの統合、分析の自動化、組織全体のインテリジェンスの運用化により、セキュリティチームが従来の脅威インテリジェンスプラットフォームを超えることができるよう支援する脅威インテリジェンス運用(TI Ops)プラットフォームです。多様なソースからの脅威インテリジェンスの取り込み、濃縮、優先順位付けを一元化します。
主な特徴は以下の通り:
- 統一された脅威インテリジェンス管理複数のソースからの脅威データを集約・正規化し、一元化された脅威ライブラリを作成します。
- AIを活用した分析:CAL™やその他のAIツールを使用して、リアルタイムのコンテキスト、行動分析、グローバルな脅威に関する洞察を提供します。
- アナリストのワークフローを自動化手動プロセスを自動化し、運用を簡素化するためのエンリッチメントとカスタマイズ可能なローコードPlaybookを提供します。
- 視覚的な脅威分析:ATT&CK VisualizerやThreat Graphなどのツールにより、脅威行為者の行動をマッピングし、データ間の関係を発見します。
- 情報要件のサポートCTIチームが、文書化された実行可能なインテリジェンス要件を通じて、インテリジェンス作成と組織の優先事項との整合性を図ることができます。
Source: ThreatConnect
5.アノマリ・スレットストリーム
Anomali ThreatStream は、世界最大級の脅威インテリジェンス リポジトリを運用することで、生データを実用的な洞察に変換する脅威インテリジェンス プラットフォームです。リアルタイムの検知、調査、対応のために設計され、脅威データと内部テレメトリを自動的に関連付け、パーソナライズされた優先順位付けされたインテリジェンスを提供します。
主な特徴は以下の通り:
- グローバルな脅威インテリジェンスリポジトリ:IOC、IOA、TTPをカバーするキュレーションされたOSINT、プレミアム、コミュニティフィードへのアクセス。
- インテリジェンスの自動配信機械が読み取り可能な脅威データをSIEM、SOAR、EDR、ファイアウォールにリアルタイムで配信し、プロアクティブな防御を実現します。
- コンテキストに基づく脅威の洞察インテリジェンスと脆弱性を自動的に関連付け、ターゲットを絞った信頼性の高いアラートとダッシュボードを提供します。
- AIによる調査サポート:Anomali Copilotを活用し、自然言語によるクエリと自動レポート生成で調査を加速。
- 統合脅威モデリング:インジケータをキャンペーン、マルウェア、ATT&CKのTTPにマッピングし、より広範なコンテキストを提供します。
Source: Anomali
6.記録された未来
Recorded Futureは、サイバー脅威に関するカスタマイズされたリアルタイムの洞察を組織に提供する脅威インテリジェンス・プラットフォームです。幅広いソースから脅威データを収集・分析し、AI主導の分析を適用することで、最も関連性の高いリスクの優先順位付けと対応を支援します。このプラットフォームにより、セキュリティチームは脅威をプロアクティブに特定し、指標を調査し、的を絞った緩和策を講じることができます。
主な特徴は以下の通り:
- 脅威マップ:組織に関連する脅威アクターとマルウェアを視覚的に表示し、時系列で傾向を追跡します。
- サンドボックスと挙動分析:制御された環境でマルウェアを爆発させるためのファイルを提出でき、詳細な挙動レポートが表示されます。
- 脅威ハンティング・パッケージ:特定の敵対者やマルウェアの検出を支援するために、事前に構築されたルールセット(YARA、Snort、Sigma)を提供。
- ランサムウェアのリスク・プロファイリング:ランサムウェアへの暴露状況を可視化し、実行可能な緩和策を提示します。
- 被害者追跡:ランサムウェアの被害者に関するリアルタイムデータを、業界、地域、サプライチェーンの関連性ごとに分類して表示します。
- 安全な恐喝サイトの閲覧:アナリストが組織のリスクを増大させることなく、ランサムウェアの恐喝サイトを安全に閲覧できるようにします。
オープンソース脅威インテリジェンスプラットフォーム
7.MISP
MISP(Malware Information Sharing Platform & Threat Sharing)は、構造化された脅威データを収集、保存、共有するためのオープンソースの脅威インテリジェンスプラットフォームです。自動化、コラボレーション、簡素化されたワークフローを通じて、組織が大量の脅威情報をインテリジェンスに変えることを可能にします。
ライセンス: AGPL-3.0
リポジトリ:https://github. com/MISP/MISP
GitHubスター数: 5K+
貢献者: 200人以上
主な特徴は以下の通り:
- 脅威データの自動処理STIXやOpenIOCなどの形式で脅威データの相関とエクスポートを自動化し、セキュリティツールとの統合を実現します。
- シンプルなインターフェース:脅威分析とデータ共有を身近にするため、使いやすさを重視。
- 共同共有:信頼できるパートナーやコミュニティとの共有をサポート。
- SATA モデリング:脅威オブジェクトと関係を表現し、インシデント間でリンクできるようにする。
- 相関エンジン:マッチング、ファジーハッシュ(ssdeep)、CIDRブロックマッチングを使用して指標間の関係を検出します。
Source: MISP
8.オープンCTI
OpenCTI(Open Cyber脅威インテリジェンス)は、組織がサイバー脅威インテリジェンスを管理、構造化、視覚化するのに役立つオープンソースプラットフォームです。STIX2 標準に基づくナレッジスキーマを通じて、オブザーバブル、TTP、アトリビューション、被害者など、技術的および非技術的脅威データの両方をサポートします。
ライセンス:アパッチ-2.0
リポジトリ: https://github.com/OpenCTI-Platform/opencti
GitHubの星: 7K+
貢献者: 100+
主な特徴は以下の通り:
- 構造化インテリジェンスリポジトリ:STIX2スキーマを使用して脅威データを整理し、インジケータ、インシデント、脅威アクター、レポートなどのエンティティ間の明確な接続を可能にします。
- 外部ツールとの統合:MISP、MITRE ATT&CK、TheHiveなどのコネクターが利用でき、インテリジェンスの充実と同期が可能。
- カスタムナレッジモデリング:標準およびユーザー定義のデータセットをサポート。
- 時間的および信頼度データの追跡:各インテリジェンスの最初/最後に見た日付、信頼レベル、情報源の帰属を記録します。
- 自動化された関係推論:既存の関係から新しい関係を自動的に導き出し、複雑な脅威データ分析を簡素化します。
Source: OpenCTI
9.YETI
YETI(Your Everyday脅威インテリジェンス)は、サイバー脅威インテリジェンス(CTI)チームとデジタルフォレンジックおよびインシデント対応(DFIR)チームの両方をサポートするオープンソースプラットフォームです。フォレンジック インテリジェンスと脅威データを管理、検索、関連付けるための一元化されたシステムを提供します。
ライセンス: Apache-2.0
リポジトリ:https://github. com/yeti-platform/yeti
GitHubスター: 1K+
貢献者: 50人以上
主な特徴は以下の通り:
- カスタムエクスポートフォーマット:SIEM、DFIRプラットフォーム、またはその他の外部ツールに取り込むために、ユーザー定義のフォーマットでデータをエクスポートできます。
- フォレンジック・インテリジェンス管理:フォレンジック・オブジェクト定義、シグマ・ルール、ヤラ・ルール、再利用可能なクエリなどの技術的成果物を保管。
- 一括観測可能ファイル検索:アナリストが大量の観測可能ファイルを検索し、脅威のパターンや関連する指標を特定することができます。
- 脅威に特化したデータ・リンク:脅威を関連するTTP、マルウェア、フォレンジック・アーチファクトに結び付け、迅速な調査を実現します。
- カスタムデータソース統合:社内データソース、分析、ロジックのプラットフォームへの組み込みをサポートします。
- DFIRバックエンド・サポート:インシデント管理システムやマルウェア・サンドボックス・システムと統合するためのAPIを提供し、自動化されたエンリッチメントと分析を可能にします。
Source: Yeti
脅威インテリジェンスソフトウェアを使用するための5つのベストプラクティス
組織は、脅威インテリジェンス・ソフトウェアと連携する際に、以下のプラクティスを考慮する必要がある。
1.脅威データソースの定期的な更新
絶え間なく進化するサイバー脅威には、タイムリーな特定と対応が必要であり、それは最新のデータによってのみ達成できる。組織は、脅威インテリジェンス・プラットフォームが、独自ソース、サードパーティ・ソース、オープンソース・ソースなど、さまざまなデータフィードと統合されていることを確認し、最も広範な脅威情報を取得する必要があります。
頻繁にアップデートを行うことで、脅威の状況を包括的に把握できるようになり、セキュリティチームはリスク管理について十分な情報に基づいた意思決定を行うことができます。また、この手法により、ソフトウェアのアルゴリズムが新たな脅威パターンに適応して認識できるようになり、検出率が向上します。
2.脅威検知とレスポンスの自動化
脅威の検知と対応を自動化することで、脅威管理業務のスピードと精度が向上します。自動化されたシステムにより、企業は人手を介さずに脅威を迅速に特定し、緩和することができます。自動化により対応時間が短縮され、潜在的な侵害が重大な損害を引き起こす前に食い止めることができます。また、セキュリティ担当者は反復的な作業から解放され、戦略的な取り組みに専念できるようになります。
脅威インテリジェンス・ソフトウェアの自動化には、自動化されたアラート、ワークフロー、修復プロセスなどの機能が含まれます。これらの機能により、システムは脅威に対してリアルタイムで対応できるようになり、脅威の機会を体系的に減らすことができます。自動化を活用することで、企業は継続的な保護を確保し、セキュリティ効率を向上させることができます。
3.脅威インテリジェンスコミュニティとの協力
脅威インテリジェンス・コミュニティとの連携は、セキュリティ対策を向上させるための重要なベストプラクティスである。このようなコミュニティに参加することで、組織は見識を共有し、より広範な脅威インテリジェンス・データにアクセスできるようになり、潜在的なリスクに対する理解を深めることができます。このようなコラボレーションは、多くの場合、脅威の迅速な検知とサイバーセキュリティに対するより包括的なアプローチにつながります。
同業者や業界の専門家と協力することで、企業は新たな脅威や効果的な対策について学ぶことができます。この集合的なインテリジェンスは、様々な情報源からの洞察が潜在的な攻撃を先制的に回避するのに役立つ、プロアクティブな防衛戦略を育む。こうしたコミュニティ内での情報交換により、信頼と協力のネットワークが構築される。
4.継続的なモニタリングと改善
継続的な監視と改善は、効果的な脅威インテリジェンス管理に不可欠である。組織は、進化する脅威の状況を追跡し、それに応じてセキュリティ対策を調整するために、リアルタイムの監視ツールを採用する必要があります。このような継続的な警戒によって、通常とは異なる活動や新たな脅威を早期に発見し、セキュリティ・チームがリスクを軽減するための先手を打つことができます。
改善には、現行のセキュリティ・プロトコルの有効性を定期的に評価し、新たな課題に対処するための更新と改善を実施することが含まれる。モニタリング活動からのフィードバック・ループがこれらの改善に反映され、セキュリティ対策が状況の変化に対応できるようになる。
5.セキュリティ・パフォーマンスとROIの測定
脅威インテリジェンス・ソフトウェアの価値を実証するためには、セキュリティ・パフォーマンスと投資収益率(ROI)の測定が不可欠です。組織は、レスポンスタイム、脅威検出率、インシデントの防止件数などの主要業績評価指標(KPI)を追跡して、セキュリティ対策の有効性を評価する必要があります。このようなデータ主導のアプローチは、リソースの効率的な配分に役立ち、脅威インテリジェンス・ソリューションへの投資を正当化します。
ROI 分析では、脅威インテリジェンスを導入することによる財務上のメリットを、侵害の防止やダウンタイムの削減による潜在的な節約額とコストを比較することで理解することができます。セキュリティ対策の効果を定量化することで、企業は将来の投資や改善について十分な情報に基づいた意思決定を行うことができます。
結論
オンプレミスの脅威インテリジェンス・ソフトウェアを導入することで、組織は機密データを完全に管理しながら、サイバー脅威の検出、分析、対応能力を強化することができます。内部インフラを活用し、脅威インテリジェンスを既存のセキュリティ運用に統合することで、企業は脅威の可視化と意思決定を改善することができます。
その他のサイバー脅威インテリジェンス
