Criminal IPで実現するOpenCTIにおける「指標」から「インテリジェンス」への転換

サイバー脅威インテリジェンスは、調査や相関分析、意思決定を支えるコンテキストで指標を補強することにより、その価値が高まります。Criminal IPとOpenCTIの統合により、セキュリティチームはIPアドレス、ドメイン、URLといった孤立した指標を、OpenCTIのナレッジグラフ内で構造化されたインテリジェンスへと変換できるようになります。

この統合機能は、Criminal IPのレピュテーションスコアリング、インフラストラクチャインテリジェンス、脆弱性データ、行動シグナル、フィッシング分析を用いて指標を自動的に補強します。

生成された情報はOpenCTIのエンティティおよびリレーションシップとして構造化されるため、アナリストは接続されたインフラストラクチャを調査し、潜在的な攻撃対象領域を特定し、リスクの高い指標に優先順位を付けられるようになります。

統合機能のハイライト

Image

単純なレピュテーションを超えたコンテキストベースのリスクスコアリング

Criminal IPは、双方向の視点によるリスクスコアリング(インバウンドおよびアウトバウンド)を提供し、あるIPがどのように標的にされているか、また外部に対してどのように振る舞っているかの両面を反映します。これにより、従来の単一スコア型レピュテーションモデルよりも精緻なシグナルをアナリストに提供し、リスクの高いインフラストラクチャの優先順位付けを改善します。

Image

グラフに組み込まれた深いインフラストラクチャインテリジェンス

この補強機能は単なる指標へのタグ付けにとどまらず、Criminal IPは脆弱性(CVE)、自律システム(ISP)、地理位置情報を含む構造化されたOpenCTIエンティティおよびリレーションシップを生成します。これにより、アナリストはインフラストラクチャ間をピボットし、共有されているコンポーネントを発見し、グラフ内で関連するインフラストラクチャを特定できます。

サービス露出と脆弱性の相関分析

観測されたサービスを既知のCVEと関連付けることで、この統合機能は潜在的な攻撃対象領域についての即座の洞察を提供します。アナリストは、あるIPが単に悪意あるものであるかだけでなく、実際に悪用可能であるか、あるいは攻撃で実際に利用されているかを迅速に評価できます。

高精度な脅威ラベリングと行動シグナル

自動生成されるラベルには、匿名化技術(VPN、プロキシ、TOR)、ホスティングの特性、悪意ある分類など、複数のデータポイントが組み込まれます。この階層的なラベリング手法により、「悪意あり/なし」という二値的なタグ付けよりも豊かなコンテキストが得られます。

高度なドメイン・フィッシングインテリジェンス

ドメインに関しては、Criminal IPはフィッシング活動、認証情報の窃取、不審なファイル、なりすまし手法を検出するために完全なURL分析を実行します。信頼度スコアはフィッシングの可能性に直接連動しており、アナリストにリスクの定量的な指標を提供します。

インフラストラクチャマッピングと分析支援

この統合機能は、指標をネットワーク所有者(自律システム)、物理的な所在地、解決済みのIPインフラストラクチャに関連付けます。これにより、チームは指標間のホスティングパターン、地域的なクラスタリング、インフラストラクチャのパターンを特定できます。

Criminal IPインテリジェンスでOpenCTIの指標を補強

Criminal IPをOpenCTIと統合し、IPアドレス、ドメイン、URLをコンテキストに基づく脅威インテリジェンスで補強しましょう。

双方向の視点によるリスクスコアリング、インフラストラクチャの関連性、脆弱性データ、行動シグナル、フィッシング分析をOpenCTIのナレッジグラフに自動的に追加し、より迅速な調査、相関分析、優先順位付けを実現します。

Criminal IP統合機能を詳しく見る

統合の仕組み

IPアドレス、ドメイン、URLといった指標は、まずOpenCTIに取り込まれます。

次に、Criminal IPコネクタが各指標をレピュテーションスコアリング、インフラストラクチャインテリジェンス、脆弱性情報、行動シグナル、フィッシング分析で自動的に補強します。

補強されたデータは、OpenCTIのナレッジグラフ内でエンティティおよびリレーションシップとして構造化されます。アナリストはその結果得られたインテリジェンスを、調査、相関分析、インフラストラクチャのピボット、脅威分析に活用できます。

このプロセスは以下のようにまとめられます。

  1. 指標(IPアドレス、ドメイン、URL)がOpenCTIに取り込まれる
  2. Criminal IPコネクタが各指標をレピュテーションスコアリング、インフラストラクチャインテリジェンス、フィッシング分析で自動的に補強する
  3. 補強されたデータがエンティティおよびリレーションシップとして構造化され、OpenCTIのナレッジグラフ内での調査、相関分析、分析を可能にする

主なユースケース

SOCのトリアージとアラート検証
双方向のリスクスコアリング、インフラストラクチャのコンテキスト、フィッシングインテリジェンスを用いて、不審なIPやドメインを迅速に検証し、アナリストがリスクの高い指標に優先順位を付けられるようにします。

脅威ハンティングとインフラストラクチャのピボット
CVE、自律システム、地理位置情報といった補強されたリレーションシップを活用し、接続されたインフラストラクチャ間をピボットして、攻撃者のオペレーションで使用される関連資産を発見します。

フィッシングおよびキャンペーン分析
悪意あるドメイン、認証情報窃取ページ、それを支えるインフラストラクチャを特定・分析し、フィッシング活動を追跡してより広範なキャンペーンのパターンを把握します。

OpenCTIプラットフォームについて

OpenCTIは、グラフベースのモデルを用いて脅威データを構造化・保存・分析するために設計されたオープンソースのサイバー脅威インテリジェンスプラットフォームです。組織は指標、脆弱性、脅威アクター、キャンペーンを統合されたナレッジベースへと結び付け、調査、コラボレーション、インテリジェンス共有を行えます。

Criminal IPについて

Criminal IPは、世界中のインターネット上のIPアドレス、ドメイン、URLを分析することで、意思決定にすぐに活用できるサイバー脅威インテリジェンスを提供します。AIとOSINTを活用し、レピュテーションスコアリング、インフラストラクチャの可視化に加え、フィッシング、露出したサービス、VPNやプロキシといった匿名化技術など、悪意ある活動をリアルタイムで検知します。API優先のアーキテクチャにより、セキュリティプラットフォームへのシームレスな統合を実現し、可視性、自動化、対応能力を強化します。

翻訳元: https://www.bleepingcomputer.com/news/security/turning-indicators-into-intelligence-in-opencti-with-criminal-ip/

ソース: bleepingcomputer.com