詳細を読む
脅威インテリジェンスセキュリティセンター (TISC) を使用すると、一元化されたワークスペースで脅威インテリジェンスフィードを収集、処理、分析することで、脅威インテリジェンスチームと共同作業を行うことができます。
TISC 重複排除、正規化、集計などのデータの収集と処理を管理します。脅威インテリジェンスを分析して周知し、管理ワークスペース 脅威インテリジェンスセキュリティセンターを提供します。
脅威インテリジェンスセキュリティセンター アプリケーションの概要をご覧ください。
主な機能
脅威インテリジェンスセキュリティセンター (TISC) 主な機能:脅威インテリジェンス管理:
- OSINT 脅威フィードのキュレーションされたカタログ:一般的なオープンソースの脅威インテリジェンスフィードを幅広く選択して、幅広いカバレッジを提供します。
- プレミアムフィード統合:プレミアムフィードを統合することで、脅威インテリジェンスの品質を向上させます。
- 自動観測事象抽出:アップロードされたファイルから一般的に使用される観測事象タイプを自動的に識別して抽出し、脅威データの取り込みプロセスを簡素化します。
- 多様なデータ集約: STIX、 MISP、JSON などの複数のデータ形式をサポートし、シームレスなフィード統合を可能にします。
- 拡張機能と検証:誤検出の削除、信頼スコアの割り当て、インジケーターの検証、およびコンテキスト情報の追加によって、拡張および検証機能を提供します。
統合機能:
- 脅威のルックアップ、サイティング検索、および観測事象の拡張を使用して脅威インテリジェンスで観測事象を拡張し、観測事象が悪意のあるものかどうかを評価します。
- CrowdStrike Falcon EDR: 継続的な監視と リアルタイム アラートをサポートします。
- セキュリティツールの統合:SIEM、EDR、ファイアウォールなどのセキュリティツールを調整します。
- 相関ルールエンジン:インテリジェンスレコード間の関係を自動的に確立し、脅威パターンをより深く把握できるようにします。
脅威インテリジェンスの分析と運用:
- カスタマイズ可能な脅威スコアリング:脅威スコアの微調整により、より微妙で正確な脅威評価が可能になります。
- 内部インテリジェンス統合: 脆弱性対応 (VR)、 セキュリティインシデントレスポンス (SIR)、 構成管理データベース (CMDB)などの内部インテリジェンスソースの統合を可能にします。
- ユーザー固有のダッシュボード:脅威インテリジェンスのペルソナに従って可視化とデータビューを調整し、ユーザーエクスペリエンスと関連性を向上させます。
- グラフィカルチャート化ツール:関係グラフやインタラクティブな調査キャンバスなどの直感的なグラフィカルなチャート化を提供し、複雑な脅威インテリジェンスデータの分析を簡素化します。
- 専用のアナリストワークスペース:脅威インテリジェンスアナリストが調査と分析に集中できるようにする、専用の簡素化された脅威インテリジェンスアナリストワークスペースを提供します。
- 脅威ケース管理:タスク追跡とケース処理により調査ワークフローをサポートします。
- MITRE-ATT&CK 統合:ユーザーがケースレコードを MITRE-ATT&CK フレームワークデータにリンクして、キルチェーン分析を強化できるようにします。
- シームレスな SIR 統合: セキュリティインシデントレスポンス アプリケーションと 脅威インテリジェンスセキュリティセンター アプリケーション間のスムーズなデータ移行と相互運用性を提供します。
- 通知とアラートルール:進化する脅威インテリジェンスに基づいてチームに通知するトリガーアラートを確立します。
- データ保持とクリーンアップのポリシー:組織がデータ管理ルールを定義して、アプリケーションのパフォーマンスと適合性を維持できるようにします。
- レポートとコラボレーション:リッチテキストエディターとカスタマイズ可能なテンプレートを使用して、包括的なステータスレポートと調査サマリーを生成します。
- MSSP のドメインセパレーション:マルチテナント環境をサポートし、マネージドセキュリティサービスプロバイダー (MSSP) が顧客データを安全に分離できるようにします。
- 広範な API 統合: 他のセキュリティ ツールやプラットフォームとのシームレスな接続のための TISC API を提供します。
脅威インテリジェンスセキュリティセンター ユーザーとロール
| ユーザー | 説明 | ロールを含む |
|---|---|---|
| アドミニストレーター | データソースの構成や設定の管理など、 脅威インテリジェンスセキュリティセンターの初期セットアップと継続的なメンテナンスを管理および構成します。 |
|
| アナリスト | 脅威インテリジェンスアナリストは、チームから要求された分析および調査タスクを実行します。アドホックインテリジェンスをインポートして作業をサポートし、システムのツールを使用して分析、コラボレーション、およびインテリジェンスライブラリを管理できます。 |
|
脅威インテリジェンスセキュリティセンター のメリット
次の表では、 脅威インテリジェンスセキュリティセンター の主な機能とメリットについて説明します。
| 機能 | メリット | ユーザー | ロールを含む |
|---|---|---|---|
| ダッシュボード/ホームページ | 脅威インテリジェンスセキュリティセンター ホームページでは、組織の脅威インテリジェンス、データフィードの概要、インテリジェンスの共有、セキュリティ体制を高レベルで可視化できます。 |
|
|
| 脅威インテリジェンスライブラリ | TISC 脅威ライブラリは、構造化および非構造化セキュリティ脅威情報を提供する、体系的なオブジェクトとエンティティのコレクションです。脅威情報は、 STIX、 MISPなどのソースからのフィードとして利用できます。 |
|
|
| 統合 | TISC 統合モジュールは、すべての脅威インテリジェンスフィードソースと拡張統合を 1 か所から一元管理および構成することで、 脅威インテリジェンス データの自動取り込みとスケジュール設定を可能にします。 |
|
|
| アドミニストレーション | TISC 管理モジュールは、 TISC データ管理のすべての側面を一元的に構成および管理します。これには、フィルタリングと承認ルール、脅威スコアリング、セキュリティコントロールリスト、分類、通知、およびレポートテンプレートが含まれます。 | アドミニストレーター |
|
| インポート/エクスポート |
|
|
|
| 脅威の Analyst Workbench | 単一のワークスペースからエンドツーエンドの脅威調査を管理し、ケースとケースタスクを作成および追跡します。観測事象、攻撃者、キャンペーンなどの内部インテリジェンスレコードを収集し、調査キャンバスを使用して複雑な関係を可視化します。 アーティファクトの追加、拡張アクションの実行、調査レポートとエグゼクティブサマリーレポートの生成、ケースからの直接のセキュリティインシデントの作成により、分析を迅速化します。 |
|
|
| 脅威インテリジェンス Sharing | 自動および手動の共有ワークフローを使用して、組織内および組織間で脅威インテリジェンスを安全に共有します。インバウンドインテリジェンスとアウトバウンドインテリジェンスのカスタマイズ可能なテンプレート、編集機能、および構成可能な承認ルールを通じて、共有内容を制御します。 包括的な監査ログ、データ保持ポリシー、双方向のTISCTISC交換を通じて適合性とトレーサビリティを維持しながら、安全で管理されたデータ共有のためにユーザーとグループのアクセスTAXII管理します。 |
|
|