脅威インテリジェンスとエクスポージャーは、サイバーセキュリティチームとマネージドサービスプロバイダー(MSSP)が絶えず進化する脅威の風景で増大する課題に対処するために設計された先進的なサイバーインテリジェンスツールです。
この記事は、脅威インテリジェンスとエクスポージャーがサイバーセキュリティチームとMSSPの両方にどのように利益をもたらすか、その機能と付加価値の包括的な概要を強調しています。
脅威インテリジェンスとエクスポージャーが何をするか?
キュレーションされた脅威インテリジェンス:信頼できる数百の情報源から情報を集め、合成し、フィルタリングして、信頼性が高く関連性があり、実行可能なデータを保証します。
リアルタイムでカスタマイズされた脅威モニタリング:組織の技術スタックに合わせて、脆弱性、エクスプロイト、新興攻撃に関する即時のアラートを受け取ります。
自動化された脅威分析:AIと機械学習を使用してアラートを優先し、詳細なコンテキストと緩和戦略を提供します。
脅威インテリジェンスとエクスポージャーの機能は?
脅威インテリジェンスとエクスポージャーは、毎日数百の公開サイバーインテリジェンスソースをチェックして、各攻撃、脅威、および脆弱性を分析し、リアルタイムで洞察を生成します。
次に、企業の境界と関心領域に関連する情報をフィルタリングし、即時のアラートを送信します。このようにして、積極的に行動し、企業の継続的な安全を保証するために、あなたを常に情報提供します。
ワークスペースの設定方法は?
1. モニタリングにアセットを追加する
迅速かつ簡単です、チェックしてください。
もし技術を追加して脅威インテリジェンスの洞察を受け取りたい場合:
監視対象アセットに行き、アセットを追加をクリックし、次に技術を選択します。
関連する技術の名前をコンマで区切って入力します。
次に、"アセットを追加"をクリックして完了です!
あなたは以前に作成されたアセット名のリスト(例えばCSVファイルで)をコピーすることもできますが、トピックは常にコンマで区切られるべきであることを覚えておいてくださいね。
スペースで区切られた単語は一つの複合語として扱われます。ここに監視に追加できる技術のいくつかの例を示します:
オペレーティングシステム: Windows, Windows 11, Windows Server 2022, macOS, macOS Big Sur, Linux, Ubuntu, Red Hat Enterprise, FreeBSD, Android
ブラウザ: Edge, Chrome, Firefox, Safari
ビジネスアプリケーション: Microsoft Office, Microsoft 365, Google Workspace, Adobe Acrobat, SAP, Oracle, Teams, Slack, Zoom, PowerBI
主要パートナー: Google, Microsoft, Meta, Apple, IBM, Salesforce, Deloitte, Cloudflare
ネットワークインフラ: Cisco, Juniper, Fortinet, F5, Palo Alto
データベース: Oracle Database, Microsoft SQL, MySQL, PostgreSQL, MongoDB, Elasticsearch
クラウド: AWS, Azure, GCP
コンテナ: Docker, Kubernetes
その他: iPad, iPhone, Apache, ChatGPT, Github
あなたが外部アセットを追跡し、開いているポート、実行中のサービス、潜在的な脆弱性(CVE)を発見するためにホスト(ドメインまたはサブドメイン)を追加したい場合:
監視対象アセットに行き、アセットを追加をクリックし、次にホストを選択します。
関連するドメインまたはサブドメインを入力します。
次に「アセットを追加」をクリックして完了です!
2. モニタリングルールの作成:
複数の基準を組み合わせてルールを作成し、組織にとってより関連性の高い脅威に関するアラートを受け取ることができます:
監視対象の技術や資産
特定のマルウェアや脅威アクター
地理的な位置
産業セクター
脅威のタイプ(ランサムウェア、マルウェア、ゼロデイ、トロイの木馬、エクスプロイト攻撃など)
リスクレベル
すぐに始めるために、標準のテンプレートを使用することができます:
「私の技術への脅威」:技術スタックに関連する脅威を監視し、すべてのユーザーに対してデフォルトで有効になっています
「特定の業界と場所への脅威」:あなたの業界と地域に影響を与える脅威を追跡します
「特定の脅威アクターの活動」:特定の脅威アクターの活動を追跡します。
アラートの設定方法は?
Threat & Exposure Intelligenceの通知設定で、以下のことができます:
電話番号を追加する(オプション - WhatsAppまたはSMSでアラートを受け取りたい場合のみ)。
洞察に対する好みの通知チャネルを選択する:WhatsApp、SMS、および/またはEメール。
新しいCVE(リスクレベルに基づく)および期限切れの証明書に対するEメール通知の設定を選択します。
インサイトをフォローまたはフォロー解除する方法は?
あるインサイトが組織の監視対象アセットと関連付けられると、自動的にフォローが始まります。
実際には、このインサイトが脅威インテリジェンスとエクスポージャーのホームエリアで利用可能になり、関連する更新(前のセクションを参照)が選択したチャネルでアラートを生成します。
いつでもこれらのインサイトのフォローを解除することができます:
あなたにとって関連性のある新しい洞察を発見し、探索エリアで「インサイトをフォロー」ボタンを選択してフォローを開始することもできます。
インサイトを選択してフォローするかどうかの行動は、ユーザー個人にのみ影響し、企業全体には適用されません。
ホストモニタリングはどのように機能しますか?
新しいホストを追加すると、脅威と露出のインテリジェンスが自動的にスキャンを行い、以下のような貴重なデータを提供します:
公開ドメイン登録情報(WhoIs)は何ですか?
ホストのIPアドレスは何ですか?
どのポートが開いているか、そしてそれらのポートでどのサービスが実行されていますか?
これらのサービスに関連する既知の脆弱性(CVE)はありますか?
どの種類の証明書が使用されており、それらの有効期限はいつですか?
ドメインを追加すると、脅威と露出のインテリジェンスは初期スキャンを超えて、インターネット上で他の関連ホストを自動的に検索する(アセット発見)ことにより、外部攻撃面の完全なビューを得るのに役立ちます。見つかった新しいホストは最初のホストと同じ方法で分析され、セキュリティ状況に関する詳細情報が提供されます。
インサイトのリスクスコアはどのように計算されますか?
脅威インテリジェンスとエクスポージャーは、以下の方法を使用してインサイトのリスクスコアを計算します:
ステップ1: CVEのチェック(一般的な脆弱性とエクスポージャー)が関連付けられているかどうか:
インサイトに1つ以上のCVEがある場合、脅威インテリジェンスとエクスポージャーは最高のCVSSスコア(共通脆弱性スコアリングシステム)を選択します。
CVEのスコアが利用できない場合は、次のステップに進みます。
ステップ2: AIによるCVSS推定:
脅威インテリジェンスとエクスポージャーは、AIを使用して3つの主要な要因に基づいてCVSSスコアを推定します:
影響レベル
悪用の可能性
脅威レベル
各要因は低、中、高、または致命的と評価され、これらの評価が組み合わさって最終的なリスクスコアが計算されます。
このアプローチにより、各インサイトに対して正確で信頼性の高いリスクスコアが保証されます。
ホストのリスクはどのように定義されますか?
ホストのリスクは、それに関連付けられたCVEの中で最も高いリスクとなります。関連付けられたCVEがない場合、リスクは未定義です。CVEのリスクはCVSS(Common Vulnerability Scoring System)に基づいており、こちらがその概要です:
クリティカル(CVSS 9.0-10.0):ユーザーの介入なしに容易に悪用でき、完全な機密性、完全性、または可用性の喪失など、重大な影響をもたらす脆弱性。
高(CVSS 7.0-8.9):比較的容易に悪用でき、部分的な機密性、完全性、または可用性の喪失など、重要な影響をもたらす脆弱性。
中(CVSS 4.0-6.9):特定の条件やユーザーの介入が必要で、中程度の影響をもたらす脆弱性。
低(CVSS 0.0-3.9):悪用が困難であるか、影響が限定的な脆弱性。
CVSS(共通脆弱性評価システム)
それは何ですか?
脆弱性の技術的重大度を測定する標準化されたスコアリングシステム。
スケール 0.0から10.0まで、以下の通り:
0.0:影響なし。
4.0–6.9:中程度の重大度。
7.0–8.9:高い。
9.0–10.0:クリティカル。
主要コンポーネント:
リモート/ローカルアクセス、認証の必要性、機密性、完全性、可用性への影響などのベクトル。
例:認証なしでリモートコード実行を可能にする欠陥は、高いCVSSスコアを持つ。
制限:
CVSSは脆弱性が積極的に悪用されているか、またはその可能性を考慮していません。
EPSS(脆弱性悪用予測スコアリングシステム)
それは何ですか?
脆弱性が実際に悪用される可能性を推定する指標。
スケール 0から1まで、以下の通り:
0.0:悪用の可能性が非常に低い。
1.0:悪用の可能性が非常に高い。
計算基盤:
機械学習と実際のデータ(エクスプロイトソース、ハニーポット、テレメトリーなど)を使用。
公開されているエクスプロイトの存在、悪用の容易さ、障害の知名度などを考慮。
利点:
理論的な重大度だけでなく、実際のリスクに焦点を当て、何を最初に修正するかを優先するのに役立つ。
実用的な使用例
2つの脆弱性を想像してください:
CVE-A:CVSS 9.8(クリティカル)、しかしEPSS 0.002(ほとんど悪用されていない)。
CVE-B:CVSS 6.5(中程度)、しかしEPSS 0.85(実際に広く悪用されている)。
この場合、CVE-Bは重大度が低いように見えますが、あなたの組織にとってより緊急なリスクを表す可能性があります。
IOCの信頼度はどのように計算されますか?
IOCの信頼度は、脅威情報と露出に関する指標であり、顧客やパートナーが自身のポリシーに基づいてセキュリティ対策を実施するのを支援するために設計されています。
これは、複数の情報源を分析することによって計算され、どれだけのセキュリティプロバイダーがIOCを悪意のあるものとして識別しているかを決定します。
そのデータは、内部のスコアリングシステムにマッピングされ、信頼度を低、中、高として割り当てます。
このアプローチにより、信頼度が信頼できる情報源の間のコンセンサスを正確に反映することが保証されます。
サポート
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊