インテリジェンス カードの概要
インテリジェンス カードには™、テクニカル インジケーター、マルウェア ファミリ、ソフトウェアの脆弱性など、特定の調査トピックに関連する重要な情報がバンドルされています。 インテリジェンス カードはトリアージの出発点であり、調査中のピボット ポイントです。
各エンティティタイプにはインテリジェンスカード™があり、いくつかの例を以下に示します。 このページの残りの部分では、すべてではないにしても、ほとんどのインテリジェンスカードに共通するコンポーネントの概要について説明します。
- IP アドレス - 個々の IP と IP 範囲 (CIDR)
- ドメイン - FQDN、ネームサーバー、メールエクスチェンジなどのドメインとDNS名。
- ハッシュ - MD5、SHA-1、SHA256 ハッシュを含む
- 脆弱性 - 主に NIST NVD の CVE 脆弱性
- マルウェア - マルウェアのファミリ名
- 脅威アクター - 脅威アクターグループ
- 場所 - 特定の都市に関連する脅威と危険の情報
すべてのタイプで、インテリジェンス カードは同様のベースライン セットの情報セクションを提供します。 この概要では、これらの共通セクションを最初に紹介し、次に特定のインテリジェンス カードの詳細を追加します。種類。
見出し
見出しセクションは、このインテリジェンスカード™に要約されたエンティティを識別し、このエンティティに関する報告が観察された最初と最後の日付を提供します。 見出しセクションには、データのエクスポートや、このインテリジェンス カードの共有リンクの作成などのアクションも用意されています。
リスクスコア
リスクスコア は、IPアドレス、ドメイン、ハッシュ、および脆弱性に対して提供されます。 スコアは、一連のリスク ルールに基づいています。 各ルールは特定の証拠に基づいてトリガーされ、個別に期限切れにすることができます。 リスクルールのインプットソースには、Recorded Futureの技術データ収集、脅威フィード、セキュリティ研究者やブログ、ソーシャルメディア、フォーラムなどの1M+のWebソースからのコンテキストが含まれます。
各リスク・ルールには重大度レベルがあります。 エンティティのリスク・スコアは、現在トリガーされている最高重大度のリスク・ルールによって決定されるバンド状です。 重大度レベルが低い場合にトリガーされる追加のリスク ルールは、全体的なリスク スコアをわずかに増加させます。 同じ重大度レベルでトリガーされた複数のリスク・ルールは、スコアの大幅な増加を引き起こしますが、スコアがより高い重大度レベル用に予約されたリスク・スコアのバンドにリスクを及ぼさないようにします。
トリガーされたリスクルールの証拠
インテリジェンス カードは、通常、1 つ以上のレポート ソースと、これらのソースによって公開されたドキュメントへのリンクを含む、各リスク ルール の証拠 に対する透明性を提供します。
トリガーされたリスク ルールと証拠 (上記のこの例では 9 つ、そのうちの 6 つはスクリーンショットに示されています) に加えて、エンティティのリスクを評価するために使用されているリスク ルール の合計 数 (上記の例では 51) も示します。 新しいリスク ルールを定期的に追加し、その種類のすべてのエンティティに対して段階的に評価されます。 これらの更新中に、同じエンティティタイプのインテリジェンスカードが表示され、リスクルールの合計数が異なる場合があります。
リスク ルールのガイダンス
インテリジェンス・カードは、トリガーされたリスク・ルールのロジックと使用目的を説明する ガイダンスも提供します。 トリガーされたリスク ルールの横にある疑問符アイコンをクリックすると、ルールがトリガーされるタイミング、その種類の情報または目撃がリスクに重要性を持つ理由、および次に何 (リスク情報の性質と信頼性に適した推奨されるアクション) を説明するガイダンスが表示されます。
脅威リスト
エンティティが現在 1 つ以上の脅威リストに含まれている場合、これはインテリジェンス カードに反映されます。 Recorded Future は、脅威リスト プロバイダーの頻度に応じて、毎日、またはそれ以上の頻度で、脅威リストの更新を追跡します。 外部脅威リストからエンティティを削除すると、Recorded Futureに迅速に反映され、それに応じてリスクルールが更新されます。 ホワイトリストと緩和リストに含まれるエンティティも、そのリストをここに反映することに注意してください。 各リストの説明については 、こちらを参照してください。
最近のイベントタイムライン
Recorded Futureは、エンティティが関与するレポートを時間ごとに整理し、インテリジェンスカードには、過去60日間のレポートのタイムラインが含まれます。
マルウェア、脆弱性、脅威アクターのインテリジェンス カードには、2 つのタイムラインが表示される場合があります。 最初のタイムラインは青色で、過去 60 日間にこのエンティティが関与して報告されたすべてのイベントをまとめています。 2番目のタイムラインは、報告されたサイバー攻撃とサイバーエクスプロイトのイベントを具体的にまとめたものです。 サイバーイベントタイムラインの各日は、その日付のこのエンティティのサイバー脅威シグナルの重要度によって色分けされています。
文脈
これらのリストは、インテリジェンス カードのプライマリ エンティティと共に報告された他のインフラストラクチャとエンティティをまとめたものです。 コンテキストセクションには、同じ文またはドキュメント内のインテリジェンスカードエンティティとこのセクションの関連エンティティの言及である共起が記録されます。 共起は、エンティティ間のつながりの性質や強さについて何の主張もせず、単にそれらが一緒に言及されたというだけです。
各関連エンティティの青いバーの長さは、主エンティティと関連して言及される相対頻度を示します。 各リンクの特定のイベントを表示するには、リスト内の関連エンティティをクリックします。 インテリジェンス カードに表示される最上位リスト以外の関連エンティティを表示するには、[ テーブルに表示 ] アクションをクリックします。
拡張 機能
拡張機能は、インテリジェンス カードとインテリジェンス パートナーのコンテンツを強化する統合です。
技術プロファイルとエンリッチメント・サービス・リンク
便利なナビゲーション リンクは、セキュリティ コミュニティに情報を公開するいくつかのエンリッチメント サービスに含まれています。 これらには、DomainTools(ドメイン登録とWHOIS)、Shodan(開いているポートとサービス)、VirusTotal(静的またはサンドボックスの振る舞い分析を通じてインフラストラクチャにリンクされたマルウェア)が含まれます。
最近の参考文献と最初の参考文献
各インテリジェンス カードは、レポートの時刻 (最新のレポートと最初のレポート) に基づいて強調表示されるか、イベント タイプまたはソースのグループからの最新のレポートとして強調表示された、一連の個別の参照で締めくくられます。 これらのハイライトされた最近のイベントには、サイバーイベント、貼り付けサイト、ソーシャルメディア、情報セキュリティソース、アンダーグラウンドフォーラム、ダークウェブソースが含まれます。
Recorded Futureは、オープンウェブ、テクニカルウェブ、ダークウェブ、専門家の調査、顧客提供のソースからの非構造化データを、機械学習と自然言語処理技術で処理します。 最高品質の脅威インテリジェンスを確保するために、厳格な自動プロセスと手動プロセスの両方を導入していますが、インテリジェンスカードには小さなエラーや誤帰属がある可能性があります。 データの不正確さに遭遇した場合は、データレビューをリクエストして情報の改善にご協力いただければ、当社の専門研究者がレビューを実施します。
エンティティのキュレーションを要求し、不足している情報で最新であることを確認するには、インテリジェンスカードに移動します。そのエンティティに対して。 次に、右上の3つのドットをクリックし、「 データの問題を報告」>「キュレーションをリクエスト」をクリックします。 必要なフィールドに入力し、キュレーションの実行に役立つ追加情報を含めます。
データが正しくないと思われる場合は 、「データレビューをリクエスト」 オプションを使用すると、さらなる調査とフォローアップがトリガーされます。
各リクエストには、 専門の研究者が特定のデータ要素に注意を向けることができるように、リクエストに関するできるだけ多くの情報を含めてください。