SIEMやファイアウォールを導入しているけれど、
「脅威情報やアラートが多すぎて処理しきれない、活かしきれない」
「誤検知/偽陽性が多い」
「収集した脅威情報を集約できておらず、活用できていない」
といった悩みはありませんか?
今回の記事では、脅威情報の処理プロセスを機械学習の力で自動化するツール「Anomali」を紹介します。Anomaliによって脅威情報の取り扱いに必要なリソースのかなりの部分を節約できることを、インテリジェンス・サイクルに沿ってお伝えします。Anomaliの機能や実際の活用例にも触れていきます。
なお、Anomaliは脅威インテリジェンスプラットフォーム(Threat Intelligence Platform: TIP)です。脅威インテリジェンスは海外ではすでに一般的ですが、最近は日本でも関心が高まっており、弊社が提供するAnomaliにご興味をお持ちいただく方も増えています。一方で、Anomaliを日本語で紹介した資料はまだまだ少ないため、今回の記事でなるべく簡単にご説明できればと考えました。
1-1. 3本の柱:ThreatSream、 Lens、 Match
1-1-1. ThreatSreamの主な機能
1-1-2. Lensの主な機能
1-1-3. Matchの主な機能
1-2.どう役に立つ?
2.実際の活用例
2-2.活用例2:金融分野ISAC内のフィッシング情報共有に役立ったケース
3.まとめ
Anomaliとは? どう役に立つか?
今回の記事では、Anomaliによって脅威情報の取り扱いに必要なリソースのかなりの部分を節約できることをお伝えしたいと思います。
その前に、まず「そもそもAnomaliとは何か」をざっくりと説明します。Anomaliを一言で表すと、「脅威情報の収集、調査・分析、脅威への自動対応を可能にする包括的プラットフォーム」です。「Threat Intelligence Platform(TIP)」と呼ばれるツールの一種です。
脅威情報を集める際、通常、対策担当者は政府機関の注意喚起、ベンダーのツールなど複数の情報ソースを確認して、対策に活かすかと思います。Anomaliは、こうした複数ソースからの情報を1か所に自動的に集約し、同じ場所で管理や分析もできるようにするほか、既存のセキュリティシステム(SIEMやEDR等)への自動連携も可能にします。
3本の柱:ThreatSream、Lens、Match
もう少し細かく見ていきましょう。Anomaliは、3つのコンポーネントで構成されます。ThreatSream、 Lens、Matchの3つです。
それぞれを使ってできることのイメージは、以下の通りです。
ThreatSream
ThreatSreamは、複数の情報ソース(例:オープンソース情報やベンダーのツールなど)から、脅威情報を自動で収集・処理します。また、収集・処理したデータ(例:IoC、ハッシュ)を、セキュリティシステム(例:SIEMやEDR)と連携させるために使用できます。
Lens
Lensは、WebサイトやPDFファイルなどの非構造化データ(=そのままでは機械が読み取れないデータ)に含まれる脅威情報を自動スキャンします。また、Lensで読み取ったデータをThreatSreamやMatchにエクスポートすることも可能です。
Match
Matchは、Lensで取り込んだデータを自社のログと突合できるプラットフォームです。ログは5年以上遡ることができます。
では、3つをもう少し詳しく見ていきましょう。
ThreatSreamの主な機能
インテリジェンスの収集・処理を自動化
ThreatSreamを使うことで、オープンソース情報(例:Abuse.ch、Twitter)やベンダーの脅威インテリジェンスフィード(例:Flashpoint、 Silobreaker)など、100を超える情報ソースから自動収集された情報を、1か所に集約して管理できます。
各情報ソースは、ThreatSream内のマーケットプレイス(Anomali APP Store)からトライアルや購入ができます。また、自社がすでにライセンスを持っている製品も、Anomali APP Storeにあればインテグレート可能です。なお、利用可能なフィードのうちFlashpoint、Silobreakerは弊社マキナレコードにて提供しております。
また、収集した情報の処理も自動で行います。処理とは、たとえば、情報の重複、古い情報、偽陽性を除去することや、確度や深刻度に応じて情報にスコアを付けることです。重複・偽陽性の除去やスコア付与は、機械学習アルゴリズムによって行われます。
分析
MITRE ATT&CK®マッピングやビジュアル化、サンドボックスを使った分析ができます。
また、Anomali APP Storeでは、200以上の分析ツール(Maltego、VirusTotal、Silobreakerなど)を提供しています。
共有
集約した脅威情報は、単一のUI(Integrator)を使って自社のSIEM、ファイアウォール、EDR、SOARなどと連携させることができます。
ThreatSream内で、あらかじめ脅威情報の確度(confidentiality)や種別(「IPアドレス」「ハッシュ」など)によるフィルタリングやタグ付けを行ったのち、Integratorの操作画面上でタグをSIEM等に適用することで、連携が完了します。
また、Jiraなどのチケッティング・ツールと連携して情報を社内で共有したり、独自の機能「Trusted Circle」(後述)を使って業界内の別の組織と共有することもできます。
Lensの主な機能
非構造化データの収集・処理、分析を自動化
Lensは、WebサイトやPDFファイルなどの非構造化データに含まれる脅威情報を自動スキャンします。
また、ブラウザのアドオンとして使用することで、
・セキュリティ機関やベンダーのWebサイトに掲載された脅威情報の詳細(例:確度、スコア)を表示させる
・ThreatStreamに取り込む
・Matchに取り込んで自社のログに存在しないかを確認する(後述)
ことができます。
生産を自動化
自動のレポート作成機能により、調査結果をインテリジェンスレポートとして出力できます。
Matchの主な機能
テレメトリデータの収集・処理を自動化
Matchは、SIEM、エンドポイントログ、ネットワークトラフィックなどからデータを自動収集します。Lensから取り込んだ脅威情報が過去のログの中にないかを確認でき、脅威ハンティングに役立てることもできます。
どう役に立つ?
では、これら3つはどう役に立つのでしょう?
ここからは、先に述べたThreatSream、Lens、Matchで「できること」を、脅威インテリジェンスの業務プロセスをモデル化した「インテリジェンス・サイクル」(下図)に沿って説明していきます。
ThreatSream
✔️ 脅威インテリジェンスの「収集」「処理」を自動化
✔️ 「分析」「共有」に役立つ機能あり
Lens
✔️ 非構造化データの「収集」「処理」「分析・生産」を自動化
Match
✔️ テレメトリデータの「収集」「処理」を自動化
こうして見ていくと、Anomaliによって脅威インテリジェンス業務に必要なリソースのかなりの部分(とりわけ「収集」「処理」)を節約できそうです。
ソースも形式もバラバラなデータを自動で収集・処理し、1か所で管理することで、業務の負荷は軽減され、人間は意思決定や高度な分析などに集中できるようになるでしょう。
実際の活用例
よりイメージを深めるため、ここでAnomaliの実際の活用例を紹介します。
活用例1:情報の重複と偽陽性が減少
組織の概要
プリペイドカード、ギフトカードなどのペイメントカードを扱う会社
課題
Anomali導入前は…
・脅威インテリジェンスを管理するツールを複数使用していたが、どのツールもSIEMと直接連携しておらず、それぞれ独自のダッシュボードを備えていたため相互に連携していなかった。
・情報の重複や矛盾が多発するため、SIEMが脅威の兆候を察知するたび、セキュリティアナリストは外部IPアドレス関連のIoCを分析・検証することに膨大な時間を奪われていた。
よって、
・危険性のあるアラートを、複数のセキュリティ製品のダッシュボードにログインせず簡単に調査できる手段が欲しい。脅威インテリジェンスのプロセスをシンプルにすることで、アナリストが調査、管理、手作業での関連づけよりも、フォレンジック・対応に集中できるようにしたい。
・観測している攻撃のタイプだけでなく、攻撃者が誰であるかに関する背景情報も理解したい。
・自社のセキュリティを前進させつつも現行のプロセスと連携できるツールが欲しい。
導入した結果
ThreatStreamにより、
・脅威情報のソースがSIEM内の一つのダッシュボードにまとまり、情報の重複と偽陽性が減った。セキュリティチームの負荷を最小限に抑えることができたため、調査ではなく決断に集中できるようになった。
・ThreatStreamは同社のSIEMに直接インテグレートされるので、アナリストは分析プロセスの場所を変更せずに初期の調査を行うことができる。
・脅威インテリジェンスとSIEMアラートを、SIEM内で関連づけることが可能になった。アナリストはThreatStreamによって、各IPアドレスの脅威スコアと、その有害度の評価ランクに基づく確度を知ることができる。
・アナリストは実行ファイルをサンドボックス化した環境内でリプレイできるので、安全なテスト環境に加え、IoCや脅威インジケーターとなりうるものを初期解析する手段が得られた。
活用例2:金融分野ISAC内のフィッシング情報共有に役立ったケース
加盟する銀行がAnomaliを使って情報共有
とある金融分野ISACに加盟する銀行が、Anomali Threat Platform内(Trusted Circle)で、フィッシングに関する内容のThreat Bulletin(=脅威速報)を作成・共有した。
VirusTotalによると、この有害添付ファイルの各ベンダーによる検出率は低かった。
ISACコミュニティの反応
・Threat Bulletinの共有から数分以内に、ある別のISACメンバーがこのレポートを読み、内部ログを検索し、フィッシングメールが存在するかを確認した。
・その結果、この会社は自社も狙われていることを知った。フィッシングメールはセキュリティコントロールに検知されず、添付ファイルは誤って「無害」とされていた。
・すぐに対処し、感染は防ぐことができた。
・また、メールゲートウェイやベンダーに対し、シグネチャの定義のアップデートや適用を指示できた。
(参考:Anomali公式サイト)ISAC、ISAOのでのAnomali導入実績 一覧
まとめ
ここまで、「Anomali」で何ができるかについて「インテリジェンス・サイクル」という観点から説明してきました。ただ、ここで紹介した機能や活用例はほんの一部です。より詳しく知りたい方は、詳しい説明資料を無料で配布しておりますので、お気軽にお問合せください。
Writer
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。