インテリジェンス カードの概要

Intelligence Card™には、特定の調査トピック、テクニカル指標、マルウェアファミリー、ソフトウェアの脆弱性などに関連する重要な情報が記載されています。 Intelligence Cardはトリアージの出発点であり、調査中のピボットポイントです。

各エンティティタイプにIntelligence Card™があり、その例をいくつか以下に示します。 このページの残りの部分では、すべてではないにしても、ほとんどのIntelligence Cardに含まれる一般的なコンポーネントについて概説します。 

  • IP アドレス - 個々の IP と IP 範囲 (CIDR)
  • ドメイン - FQDN、ネームサーバー、メールエクスチェンジなどのドメインとDNS名。
  • ハッシュ - MD5、SHA-1、SHA256 ハッシュを含む
  • 脆弱性 - 主に NIST NVD の CVE 脆弱性
  • マルウェア - マルウェアのファミリ名
  • 脅威アクター - 脅威アクターグループ
  • 場所 - 特定の都市に関連する脅威と危険に関する情報

すべてのタイプで、Intelligence Cardは同様のベースライン情報セクションセットを提供します。 この概要では、まずこれらの共通セクションを紹介し、次に特定のIntelligence Cardの詳細を説明します。

見出し

見出しセクションでは、このIntelligence Card™にまとめられているエンティティを識別し、このエンティティに関する報告が行われた最初の日付と最後の日付を提供します。このIntelligence Cardのデータのエクスポートや共有リンクの作成などのアクションも含まれます。

リスクスコア

リスクスコア は、IPアドレス、ドメイン、ハッシュ、および脆弱性に対して提供されます。 スコアは、一連のリスク ルールに基づいています。 各ルールは特定の証拠に基づいてトリガーされ、個別に期限切れにすることができます。 リスクルールのインプットソースには、Recorded Futureの技術データ収集、脅威フィード、セキュリティ研究者やブログ、ソーシャルメディア、フォーラムなどの1M+のWebソースからのコンテキストが含まれます。

各リスクルールに重大度レベルがあり、エンティティのリスクスコアは、現在トリガーされている最も高い重大度のリスクルールによって決定される帯域に存在します。より低い重大度レベルで追加のリスクルールがトリガーされると、全体的なリスクスコアがやや増加します。同じ重大度レベルで複数のリスクルールがトリガーされると、スコアはより大きく増加しますが、スコアがより高い重大度レベルのリスクスコアの帯域に入ることはありません。

IP_Card

トリガーされたリスクルールの証拠

インテリジェンス カードは、通常、1 つ以上のレポート ソースと、これらのソースによって公開されたドキュメントへのリンクを含む、各リスク ルール の証拠 に対する透明性を提供します。

IP_Card

トリガーされたリスク ルールと証拠 (上記のこの例では 9 つ、そのうちの 6 つはスクリーンショットに示されています) に加えて、エンティティのリスクを評価するために使用されているリスク ルール の合計 数 (上記の例では 51) も示します。 新しいリスク ルールを定期的に追加し、その種類のすべてのエンティティに対して段階的に評価されます。 これらの更新中に、同じエンティティタイプのインテリジェンスカードが表示され、リスクルールの合計数が異なる場合があります。

リスク ルールのガイダンス

インテリジェンス・カードは、トリガーされたリスク・ルールのロジックと使用目的を説明する ガイダンスも提供します。 トリガーされたリスク ルールの横にある疑問符アイコンをクリックすると、ルールがトリガーされるタイミング、その種類の情報または目撃がリスクに重要性を持つ理由、および次に何 (リスク情報の性質と信頼性に適した推奨されるアクション) を説明するガイダンスが表示されます。  

IP_Card

脅威リスト

エンティティが現在1つ以上の脅威リストに含まれている場合、これはIntelligence Cardに反映されます。Recorded Futureは、脅威リストプロバイダーの頻度に応じて、毎日またはより頻繁に脅威リストの更新を追跡します。外部脅威リストからエンティティが削除されるとRecorded Futureにすぐに反映され、それに応じてリスクルールが更新されます。ホワイトリストと緩和リストに含まれるエンティティは、ここにも反映されることに注意してください。各リストの説明はこちらをご覧ください。.

IP_Card

最近のイベントタイムライン

Recorded Futureはエンティティに関連するレポートを時間別に整理し、Intelligence Cardには過去60日間のレポートのタイムラインが含まれます。

IP_Card

マルウェア、脆弱性、脅威アクターのIntelligence Cardには、2つのタイムラインが表示される場合があります。青色の最初のタイムラインには、過去60日間にこのエンティティに関係して報告されたすべてのイベントがまとめられています。2番目のタイムラインには、特に報告されたサイバー攻撃とサイバーエクスプロイトの事象がまとめられています。サイバー事象タイムラインの各日は、その日のこのエンティティにとってのサイバー脅威シグナルの重要度によって色分けされています。

文脈

これらのリストには、Intelligence Cardの主エンティティとともに報告された他のインフラストラクチャやエンティティがまとめられています。コンテキストセクションには、Intelligence Cardのエンティティとこのセクションの関連エンティティが同じ文または文書で言及されている共起が記録されます。共起は、エンティティ間の関係の性質や強さについて主張するものではなく、単にそれらが一緒に言及されたことを示すものです。

各関連エンティティの青いバーの長さは、主エンティティと関連して言及される相対頻度を示します。 各リンクの特定のイベントを表示するには、リスト内の関連エンティティをクリックします。 インテリジェンス カードに表示される最上位リスト以外の関連エンティティを表示するには、[ テーブルに表示 ] アクションをクリックします。

IP_Card

拡張 機能

エクステンションは、インテリジェンスパートナーからのコンテンツでIntelligence Cardを強化する統合機能です。

技術プロファイルとエンリッチメント・サービス・リンク

セキュリティコミュニティに情報を公開するいくつかの充実化サービスの便利なナビゲーションリンクが含まれています。これには、DomainTools(ドメイン登録とWHOIS)、Shodan(オープンポートとサービス)、VirusTotal(静的またはサンドボックス行動分析によってインフラにリンクされたマルウェア)が含まれます。

IP_Card

最近の参考文献と最初の参考文献

Intelligence Cardはそれぞれ、報告された時期(最新の報告と最初の報告)に基づいて強調表示されるか、またはイベントタイプやソースグループからの最新の報告として強調表示された個別の参照情報で締めくくられます。これらのハイライトされた最近のイベントには、サイバー事象、貼り付けサイト、ソーシャルメディア、情報セキュリティソース、アンダーグラウンドフォーラム、ダークウェブソースが含まれます。

データレビューのリクエスト

Recorded Futureは、オープンウェブ、テクニカルウェブ、ダークウェブ、専門家の調査、顧客提供のソースからの非構造化データを、機械学習と自然言語処理技術で処理します。 最高品質の脅威インテリジェンスを確保するために、厳格な自動プロセスと手動プロセスの両方を導入していますが、インテリジェンスカードには小さなエラーや誤帰属がある可能性があります。 データの不正確さに遭遇した場合は、データレビューをリクエストして情報の改善にご協力いただければ、当社の専門研究者がレビューを実施します。 

エンティティのキュレーションを要求し、不足している情報で最新であることを確認するには、インテリジェンスカードに移動します。そのエンティティに対して。 次に、右上の3つのドットをクリックし、「 データの問題を報告」>「キュレーションをリクエスト」をクリックします。 必要なフィールドに入力し、キュレーションの実行に役立つ追加情報を含めます。 

データが正しくないと思われる場合は 、「データレビューをリクエスト」 オプションを使用すると、さらなる調査とフォローアップがトリガーされます。

IP_Card

IP_Card

各リクエストには、 専門の研究者が特定のデータ要素に注意を向けることができるように、リクエストに関するできるだけ多くの情報を含めてください。