脅威インテリジェンス
定義
脅威インテリジェンスとは攻撃者のTTP(戦術・技術・手順)・IOC(侵害の痕跡)・脅威アクターの動機・能力・標的に関する情報を収集・分析・共有・活用する仕組みです。戦略的インテリジェンス(経営判断・投資優先度の判断に使う長期的な脅威動向)・作戦的インテリジェンス(特定のキャンペーンやグループの動向)・戦術的インテリジェンス(SOCがSIEMに組み込む具体的なIOC)に分類されます。STIX(構造化された脅威情報の標準フォーマット)とTAXII(配信プロトコル)によりインテリジェンスの機械的な共有・統合が標準化されており、MISP・OpenCTI・VirusTotal・商用CTIフィードが主要な配信元です。IOCは攻撃者がインフラを頻繁に変更するため賞味期限が短く、IOCより抽象度の高いTTP(MITRE ATT&CKのテクニックレベル)ベースの検知の方が回避困難で、長期的に有効です。
関連用語
同じカテゴリの用語(防御・対策)
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部…
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリテ…
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検…
侵害の痕跡を示す証拠。不審なIPアドレス・ドメイン・ファイルハッシュ・レジストリキー・ネットワークパターンなどが含まれる…
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロ…
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・M…
関連するレッスン
組織を守る実践的な防御策を学ぶ