Cisco Japan Blog

SecureX の脅威インテリジェンス:迅速、無料、簡単

1 min read



この記事は、Advanced Threat Solutions の Applied Sciences Engineer である Ben Greenbaum によるブログ「Threat Intelligence in SecureX: Fast, Free, or Easy (pick any three)popup_icon」(2021/7/27)の抄訳です。

SecureX は、シスコが提供する無料のセキュリティ プラットフォームです。略語が使用されることの多いさまざまなアプローチに対応しています。「SecureX とは XDR なのか、それとも SOAR なのか?SIEM が解決するような問題を解決するのか、TIP のような機能なのか?」答えはすべて「イエス」です。当初から、グローバルな脅威インテリジェンスとともに、ローカルのセキュリティコンテキストを使用して運用できることが、SecureX の柱の 1 つでした。

SecureX には非常に優れた以下の脅威インテリジェンス プロバイダーがデフォルトで装備されています

そのために、SecureX には非常に優れた以下の脅威インテリジェンス プロバイダーがデフォルトで装備されています。

  • Cisco Secure Endpoint File Reputation データベース(旧 AMP FileDB):Talos、Cisco Malware Analysis、Secure Endpoint などの複数のソースから収集された数十億のファイルハッシュに対するレピュテーション評価が蓄積されています。
  • AMP Global Intelligence データベース(別名 SecureX Public Intelligence):内部ソースとオープンソースの脅威インテリジェンスソースから厳選されたデータが蓄積されています。
  • TALOS Intelligence データベース:グローバルな TALOS 調査チームと最新のカスタマイズされたツールにより発見されたあらゆる種類の情報が蓄積されています。

Private Intelligence リポジトリも装備されており、独自のインテリジェンスをアップロードするか作成して、SecureX の調査に使用することができます。

独自のインテリジェンスをアップロードするか作成

しかし、脅威インテリジェンスの世界には、この 3 つ以外にも多くのソースがあります。すべての調査機関は、無料か有料か、オープンかプライベートかを問わず、独自の重点分野、独自の手法、独自のガイドライン、ポリシー、プラクティス、特定の脅威に対する独自の見解を有しています。必ずしも多ければ良いということではありませんが、より包括的で全体的な視点のほうが狭い視点よりも価値があることが多いのは事実です。実際、これは SecureX 自体の設計において考慮した主要なポイントの 1 つであり、SecureX の存在理由でもあります。

多くのお客様が、追加のソースをすでにご利用になっています。今から数年前、シスコは後に SecureX 脅威対応製品となる最初のバージョンに VirusTotal のサポートを組み込みました。その日のうちに、こうなることは分かっていました。

昨年の夏、リモートリレーモジュールを導入し、ユーザが任意のデータソースを利用できるようにしたのも同じ理由です。この設計により、SecureX ユーザは「独自のモジュールを導入」して自社環境にコードを展開することで、調査のリソースとしてあらゆるものを利用できるようになります。

リモートリレーモジュールを導入

シスコは次に、一部の有名な脅威インテリジェンスソース用のリレーを作成し、ユーザが導入できるように公開しました。

最近では、これらのリレーを内部に組み込みました。シスコがリレーをホストすることにより、お客様が自社の SecureX 環境にリレーモジュールを導入する方法に比べシンプルにするのが目的です。シスコが提供するサードパーティのリレーモジュールの場合、リレーサービスをダウンロード、設定、起動する必要はありません。

リレーを内部に組み込み

詳細については、Jessica Bair の素晴らしいブログ記事『SecureX Threat Response の統合強化popup_icon』を参照してください。

これにより、各種の便利なツールを利用するために必要となる時間と労力を大幅に削減できます。こうしたツールの中には、オンプレミスのセキュリティ制御ツールや検出ツールもありますが、その多くはグローバルな脅威インテリジェンス プロバイダーです。しかも、無料で提供されているものも多くあります。

私もいくつか自分で設定してみましたが、本当に簡単にさっと設定できることを実感しました。クリックして、API キーを貼り付け、もう一度クリックしたら完了です。そして見てみると、他にもまだ利用できるものがたくさんあるというわけです。そこで考えました。10 個のソースを追加するのにどれくらい時間がかかり、それによって調査の性質がどの程度変化するのだろうか、と。

この実験のために、多少恣意的に以下のソースを選択しました。アルファベット順に並べています。

  • APIvoid
  • AbuseIPDB
  • CyberCrime Tracker
  • FarSight DNSDB
  • Google SafeBrowsing
  • Pulsedive
  • Shodan
  • ThreatScore
  • io
  • VirusTotal

この他にも、脅威インテリジェンスのオプションを提供するプロバイダーがいくつかあり、一部は無料または非常に低コスト(あるプロバイダーの例では月間 5 ドル未満)です。

では、すべて無料の 10 個の脅威インテリジェンスソースを SecureX にどれだけ速く追加できるのでしょうか。そうすることで、調査の範囲はどの程度広がるのでしょうか。結果の詳細については、以下のビデオをご覧ください。

[ネタバレ注意] SecureX に 10 個の無料の脅威インテリジェンスソースを 3 分以内に追加popup_icon

 

SecureX をまだ使用されていませんか。Cisco Secure 製品のお客様であれば、無料でご利用いただけます。今すぐ SecureX を有効化popup_iconしてご利用ください。


ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手してください。

Cisco Secure ソーシャルメディア

Instagram
Facebook
Twitter
LinkedIn

 

コメントを書く