変化の速い今日の脅威環境では、インテリジェンス が 常に事前定義されたカテゴリに収まるとは限りません。 EclecticIQ Intelligence Center 3.6 では、STIXの拡張機能を基盤としたカスタムオブジェクトを提供し、標準のオブジェクトタイプを超えるインテリジェンスを取り込み、運用に活かせるようにします。
インテリジェンスが標準STIXを超えるとき
標準のSTIXオブジェクトタイプでは、CTIチームが扱うデータのニュアンスを常に捉えられるとは限りません。暗号資産ウォレットの追跡、ブロックチェーン取引のマッピング、フォレンジック証拠の記録、あるいは不審な金融活動の監視は、しばしば標準機能の範囲を超えます。
柔軟性がなければ、不格好な回避策を強いられます。インテリジェンスを不適切なタイプに無理やり押し込む、重要な文脈を省く、あるいはプラットフォーム外のスプレッドシートに詳細を散在させる、といったことです。これでは調査が遅れ、分析が弱まり、意思決定にギャップが生まれます――スピードと正確性が最も重要な局面で。
解決策:カスタムオブジェクト
カスタムオブジェクトを使えば、必要な形でインテリジェンスをモデリングできます。事前定義されたカテゴリに合わせてデータを曲げるのではなく、自社の脅威環境を反映した構造を作成できます。
たとえば、ランサムウェアに紐づく暗号資産ウォレットの詳細(ブロックチェーンの種類や取引履歴など)を完全に取り込み、STIXの脅威アクターやキャンペーンにリンクできます。あるいは、侵害に関するフォレンジック証拠を、証拠保全の連鎖(チェーン・オブ・カストディ)、分析結果、保管場所といった属性付きで記録することも可能です。さらに、不正キャンペーンに関連するクレジットカードデータのためのカスタムタイプを定義したり、攻撃者の行動、ペイロード、インフラストラクチャのフィールドを備えたハニーポット・インテリジェンスをモデル化したりすることもできます。 実際の事例では、ある顧客がハニーポットネットワークから個々のイベント(攻撃者IPなどの主要属性を含む)を取り込み、時間の経過に伴う侵入活動をモデル化し、既存のインテリジェンスへリンクできるようにしました。
どのようなユースケースであっても、これらのカスタムオブジェクトはプラットフォーム内で他のオブジェクトと同様に扱われます。つまり、既に利用している強力なツールと同じように、検索、相関、可視化、分析が可能です。カスタムデータをワークフローに取り込む際に妥協は不要です。インテリジェンスをどのように取り込み、整理し、分析のためにリンクするかを、あなたが正確に決められます。
対応機能の全リスト
データモデリング&カスタマイズ
- インテリジェンスのニーズに合わせたカスタムオブジェクトタイプを定義
- 厳格なデータ型(文字列、数値、日付など)を持つ再利用可能な属性を作成
- 必須フィールドと任意フィールドを設定
ワークフロー統合
- 自動化ルールや検知ロジックでカスタムオブジェクトを使用
- 包括的な分析のためにSTIXエンティティへリンク
- TLPマーキング、MITRE ATT&CKマッピング、タグ付けを適用
運用効率
- 一貫性のため、複数オブジェクト間で属性定義を再利用
- 標準のインテリジェンスエンティティと並べてカスタムデータを整理・フィルタリング
データ品質&ガバナンス
- 型チェックと必須フィールドの強制によりデータ品質を検証
- 既存データを壊すことなくオブジェクト構造を進化
- 監査証跡を維持
- ロールベースの権限でアクセスを制御
インポート、エクスポート&共有
- カスタムオブジェクトをプラットフォームへ直接インポート
- EIQ-JSONまたはCSV形式でエクスポート
- CSVエクスポートに含めるカスタムフィールドを選択
あなたにとって重要な理由
✅ 思いどおりにインテリジェンスをモデル化: 標準STIXオブジェクトに合わせてインテリジェンスを無理に当てはめるのではなく、現実の調査に沿った形を維持できます。
✅ 文脈を保持: インテリジェンスに意味を与える属性、関係、メタデータを追加できるため、何も取りこぼしません。
✅ カスタムデータをどこでも活用: 他のデータと同様に、自動化、調査、レポート、可視化グラフで活用できます。
全体像を捉える準備はできていますか?
もう妥協は不要です。カスタムオブジェクトを使えば、プラットフォームに合わせてインテリジェンスを作り変えるのではなく、インテリジェンスのニーズに合わせてプラットフォームを形作れます。デモを予約 して、あらゆる詳細を取り込み、文脈を保ったまま、調査をより迅速に進める方法をご確認ください。
翻訳元: https://blog.eclecticiq.com/beyond-stix-how-custom-objects-empower-your-intelligence-work
