脅威アクターカード
脅威アクターインテリジェンスカード(別名:脅威アクターカード)は、特定の脅威アクターグループに関連する重要な情報の概要をオンデマンドで提供します。 脅威アクターカードは、Recorded Futureが新しい情報を収集するとリアルタイムで更新されます。 脅威アクター カードは、脅威アクターを特定して組織のリスク評価を行うとき、またはリスク評価を更新するときの出発点として使用できます。 脅威アクターカードは、インジケーター、マルウェアツール、または脆弱性から始まる調査のピボットポイントでもあります。
脅威アクターカードのいくつかの共通コンポーネントの説明は、インテリジェンスカードの概要にあります。以下の詳細は、脅威アクターカードに固有のものです。
見出し
見出しセクションは、脅威アクターグループを識別します。 多くのカードには、開業医、研究者、ベンダーのさまざまなコミュニティで使用されている同じグループの複数の名前が記載されています。
多くのインテリジェンスカードは、脅威アクターを1つ以上の脅威アクターカテゴリーにリンクします。 これらのカテゴリは、脅威アクターを、金銭的な動機、国家が支援する国家が支援するコミュニティ、ハッキングコミュニティなどのリスク領域に分類します。 カテゴリは、脅威アクターグループが活動していると報告されている国もキャプチャします。 Nation State Sponsoredカテゴリは、多くの場合、価値の高いデータを盗み出す目的で、高度な方法を使用して標的のネットワークに永続的に留まるAPT脅威アクターを表します。
脅威アクターグループの特定、アトリビューション、特徴付けは、非常に難しいことで知られています。 Recorded Futureの国およびカテゴリへの脅威アクターグループの割り当ては、決定的な事実の記述を意図したものではありません。 代わりに、私たちのチームが観察したように、セキュリティコミュニティのコンセンサスや主要な仮説をキャプチャしたり、セキュリティコミュニティに強力な競合する仮説がある場合は、脅威アクターグループを複数のカテゴリにリンクしたりできます。
脅威アクターのメタデータに関するフィードバック、提案、批評を歓迎します。 「データレビューをリクエスト」アクションを使用してお問い合わせください。
最近のイベントタイムライン
ほとんどの脅威アクターカードには、2つのタイムラインがあります。 最初のタイムラインセクションは青色で、脅威アクターが関与するすべてのレポートの概要メトリックと、過去60日間のレポートのタイムラインを示します。
2番目のタイムラインセクションは、脅威アクターが攻撃者として直接報告されたサイバー攻撃およびサイバーエクスプロイトイベントをまとめたものです。 サイバーイベントタイムラインの各日は、その日付におけるこの脅威アクターのサイバー脅威シグナルの重要度によって色分けされています。
ターゲティングとオペレーション
このセクションでは、この脅威アクターが攻撃者として直接報告されたサイバー攻撃イベントからの方法、ターゲット、および操作またはキャンペーンを要約します。 方法には、一般的な攻撃ベクトル、マルウェア ツールとマルウェア カテゴリ、および脆弱性が含まれます。これらの上位エンティティのいずれかをクリックすると、このリンクを報告するイベントを表示できます。 [タイムラインに表示] アクションを使用して、タイムライン、テーブル、ツリー マップなどで、より多くの関連エンティティを表示するようにドリルダウンします。
文脈
このセクションでは、脅威アクターで報告されたその他のインフラストラクチャとエンティティを、エンティティタイプ別に整理してまとめます。各リンクの特定のイベントを表示するには、リスト内の関連エンティティをクリックします。 現在のリスクスコアは、利用可能な場合に表示されます。インテリジェンス カードに表示される最上位リスト以外の関連エンティティを表示するには、[テーブルに表示] アクションをクリックします。
最近の参考文献と最初の参考文献
各脅威アクターカードは、報告時間(最新のレポートと最初のレポート)に基づいて強調表示されるか、イベントタイプまたはソースのグループからの最新のレポートとして強調表示された、一連の個別の参照で締めくくられます。 これらのハイライトされた最近のイベントには、サイバーイベント、貼り付けサイト、ソーシャルメディア、情報セキュリティソース、アンダーグラウンドフォーラム、ダークウェブソースが含まれます。