Categories: セキュリティ

SecureX Threat Response の 統合強化

この記事は、Advanced Threat Solutions の Senior Manager, Business Development である Jessica Bair によるブログ「SecureX threat response Turnkey Integrations」(2021/6/15)の抄訳です。

 

SecureX が発売されてから来月で 1 年が経過します。SecureX は RSA Conference 2020 で発表されましたが、このとき統合されていたサードパーティ製品は VirusTotal だけでした。以来、広大なエコシステムを構築して 2020 年夏に発売されるまで、かなりの道のりとなりました。SecureX の発売に合わせて、Splunk のアドオンQRadar の拡張機能など、いくつかのパートナー製品が統合され、設定なしで使用できるようになりました。ただし、SecureX Threat Response に統合された他のすべてのサードパーティ製モジュールについては、API が相互に通信して脅威インテリジェンスを変換できるように、GitHub からリレーサーバ(ユーザのセルフホストサーバまたは AWS などのクラウド)にコードを展開する必要がありました。

今では、シスコがサポートする SecureX の統合機能すべてが、すぐにそのまま使用できるようになりました。設定は不要で、API キーを入力するだけです。独自の統合機能をホストしたい、コードを改造したい、独自の統合機能を開発したいという方のために、今後も教育を目的として GitHub にコードを掲載します。DevNet のトレーニングとドキュメントは引き続き利用可能です。ESG 社のショーケースレポートに示されているように、Cisco Secure はオープンで堅牢なエコシステムを築いています。

SecureX の統合モジュール

コミュニティで無償提供されている十数種類のセキュリティテクノロジーが統合されており、無料アカウントのセットアップ方法の詳細も提供されます。

urlscan.io [新しいモジュールの追加Add New Module]

[APIキー(API Key)] に貼り付けて [保存(Save)] をクリックするだけで完了です。

urlscan.io [API キーAPI Key]

ほどなく、新たに統合された機能を調査に使用できるようになります。関連する悪意のある URL やハッシュ値などの重要なコンテキストが可視化され、ネットワークが影響を受けているかどうか確認できます(Cisco Secure Endpoint、Secure Firewall、その他のソースから収集された調査対象情報がある場合)。

urlscan IP アドレス

この画面で、ファイアウォールで IP アドレスをブロックするなど即座に対応することができます。

対応措置

ご存じない方のために、SecureX との最新の統合をいくつかご紹介します。

Splunk CESA

Cisco Endpoint Security Analytics(CESA)により、Cisco AnyConnect のエンドポイントデータが、ビルトインされた Splunk のアナリティクスとダッシュボードに提供されます。このアドオンにより、SecureX Threat Response を使用して調査を行う際に AnyConnect Network Visibility Module によって生成されたテレメトリにアクセスできます。監視対象には、IPv4 アドレス、IPv6 アドレス、ドメイン、ファイル名、SHA256 ファイルハッシュなどの種類があります。Splunk 向け拡張機能も
ダウンロード可能です。

 

IBM X-Force Exchange

IBM X-Force Exchange が SecureX に統合されたことで、リスクスコアに基づいて、X-Force Exchange に対して監視対象(IP、IPv6、ドメイン、URL、MD5、SHA1、SHA256)のクエリを実行し、SecureX Threat Response に判定結果を返すことができます。詳細については、IBM QRadar – SecureX – IBM X-Force Exchange のデモビデオをご覧ください。

 

Bastille Networks

Bastille Networks が収集した無線周波数帯(RF)ネットワークとデバイスのデータを、
統合されたソースとして SecureX Threat Response で利用できます。RF デバイスの位置情報、パケット情報、RF ネットワークの接続性などのデータを、セルラー、Bluetooth、Bluetooth Low Energy、Wi-Fi、IEEE 802.15.4 など多数の RF プロトコルで利用できます。RF 情報は、SecureX Threat Response の Bastille 統合を使用してネットワーク上のエンドポイントと相互参照することができます。

 

Vade Secure IsItPhishing

Vade Secure の IsItPhishing API を使用すると、URL をすばやく検索して、フィッシングサイトかどうか判断できます。SecureX Threat Response のユーザは UI または API 経由で調査を開始し、モジュールが判断と判定結果を返します。詳細はこちらをご覧ください。

 

Palo Alto Networks AutoFocus

SecureX Threat Response は、Palo Alto Networks AutoFocus の検出情報、調査対象、判断、監視対象の関連性(SHA256 の名前、ドメインをホストする IP など)に対してクエリを実行します。また、AutoFocus に切り替えてコンテキストを追加できます。詳細については、GitHub のページを参照してください。

 

Cybersixgill Darkfeed

Darkfeed を使用すれば、SecureX のダッシュボードから直接リアルタイムで脅威をブロックし、エンドポイント保護を強化できます。Cybersixgill の比類のないディープウェブとダークウェブの自動収集機能により、SecureX のユーザは以下を実現できます。

1. Cisco SecureX の IOC を自動拡充
(マシンツーマシン)
2. IOC の基本説明(ハッシュ/ URL /ドメイン)により最高レベルのコンテキストを
入手
3. ディープウェブとダークウェブの包括的なカバレッジにより、リアルタイムの
コンテキストデータをシームレスに統合して Cisco SecureX を強化
4. 新たなマルウェアの脅威が出現すると、プロアクティブに分析・調査
5. 実用的なインサイトを得て、脅威を効果的に軽減し、マルウェアの TTP とトレンドの理解を深める
6. 脅威マップを簡単かつ直感的に可視化

 

SecureX のエコシステムが築かれてから 1 年が経過しました。今夏、統合機能がさらに増えますのでご期待ください。お気に入りのセキュリティツールが現在 SecureX に統合されていない場合は、DevNetGitHub のリソースを確認してシスコにリクエストをお願いします。。Cisco Secure Technical Alliance は、200 以上の企業と 350 以上の統合によって構成されており、問題を解決し、すべての人にとってより安全でインクルーシブな未来を築くために取り組んでいるセキュリティ企業に門戸を開いています。

 


ぜひお客様のご意見をお聞かせください。以下から質問やコメントを
投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手して
ください。

Cisco Secure ソーシャルメディア

Instagram
Facebook
Twitter
LinkedIn

木村 滋

2000 年シスコシステムズ入社。テクニカルアーキテクト/エバンジェリスト。セキュリティ ソリューション専任技術担当として、大手データセンター/キャリア ビジネスのプロジェクトをサポート。データセンター/VDI/デスクトップ仮想化/ネットワーク仮想化に従事、普及活動、ソリューション開発を担当

CCIE#19521

著書:「Cisco ISR ルータ教科書」、「Cisco WAN 実践ケーススタディ」、「実践Cisco IPSec VPN 教科書」等

NPO法人日本ネットワークセキュリティ協会(JNSA)幹事