IoCとは?
IoC(Indicator of Compromise/侵害の痕跡)とは、セキュリティ侵害の証拠を示す、デバイス上に残されたデータを指すフォレンジック用語です。このデータは、不審なインシデント、セキュリティイベント、またはネットワークからの予期しない通信の後に収集されます。
一般的なIoCの例としては、IPアドレス、ドメイン名、ファイルハッシュ、URLなどがあります。
イベントとは?
このプロダクトの文脈における「イベント」とは、ある基準に基づいて関連付けられた複数のIoC(侵害の痕跡)をまとめたものです。使用される基準はイベントの作成者によって異なります。
たとえば、Axurリサーチチーム(ART)は、あるマルウェアキャンペーンに関連するすべてのIoCをまとめたイベントを作成することがあります。
IoCで何ができるの?
IoCを定期的に確認することは、サイバーセキュリティを強化し、潜在的な攻撃を防ぐうえで非常に重要です。
IoCを活用することで、疑わしいファイルやアクティビティを識別・隔離するためのスマートなツールを開発できます。
これらは、情報セキュリティやITチームのメンバーがネットワーク上で悪意ある活動を早期に検出し、攻撃が全体に及ぶ前に食い止めるための重要な情報源となります。
また、ファイアウォールや侵入検知システム(IDS)などのセキュリティ制御に組み込むことで、将来の攻撃を防ぐのにも役立ちます。IoCは、MISP、SIEM、SOAR、XDRなどの多くのツールやプラットフォームと連携可能です。
IoCはサイバーセキュリティだけでなく、詐欺対策のプロセスでも活用すべきです。たとえば、社会保障番号(SSN)のような非技術的なIoCも非常に有用です。
AxurはIoCに対してどのような支援ができますか?
ARTチームに調査依頼をすることで、IoCの統合や調査に関するサポートを受けることができます。
IoCタグとは?
IoCを分類するために使用されるラベルのことです。現在、これらのタグはIoCの作成者のみが追加でき、プラットフォームの利用者は編集できません。
IoCタイプとは?
IoCのカテゴリのことです。たとえば、IPアドレス、ドメイン名、ファイルハッシュ、URLなどが含まれます。
IoCフィードはどのようなソースから作成されていますか?
IoCフィードの即時的な情報源はAxurのMISPです。このMISPは、Axurリサーチチーム(ART)が選定したオープンおよび独自のIoCソースを組み合わせて構成されており、誤検出(false positive)を減らすためにフィルタリングされています。
ソースには、マルウェアやランサムウェアなどの特定アーティファクトに関する研究や、当社のサイバーセキュリティ専門チームによる調査結果が含まれます。
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊