脅威インテリジェンス
定義
脅威インテリジェンスとは攻撃者のTTP(戦術・技術・手順)・IOC(侵害の痕跡)・脅威アクターの動機・能力・標的に関する情報を収集・分析・共有・活用する仕組みです。戦略的インテリジェンス(経営判断・投資優先度の判断に使う長期的な脅威動向)・作戦的インテリジェンス(特定のキャンペーンやグループの動向)・戦術的インテリジェンス(SOCがSIEMに組み込む具体的なIOC)に分類されます。STIX(構造化された脅威情報の標準フォーマット)とTAXII(配信プロトコル)によりインテリジェンスの機械的な共有・統合が標準化されており、MISP・OpenCTI・VirusTotal・商用CTIフィードが主要な配信元です。IOCは攻撃者がインフラを頻繁に変更するため賞味期限が短く、IOCより抽象度の高いTTP(MITRE ATT&CKのテクニックレベル)ベースの検知の方が回避困難で、長期的に有効です。
関連用語
よくある質問
脅威インテリジェンスとは?
攻撃者のTTP(戦術・技術・手順)・IOC(侵害の痕跡)・脅威アクターに関する情報。防御策の優先付けや検知ルール改善に活用する。STIX/TAXIIでデータ交換が標準化されている。
同じカテゴリの用語(防御・対策)
利用者が求めたOAuthアプリ権限を、管理者が審査して承認・却下するための運用フロー。…
Kubernetesでリソース作成・更新リクエストを受け付ける前に、検証や変更を行う制御ポイント。…
大量のアラートや低品質な通知により、担当者が重要な警告を見逃しやすくなる状態。…
許可された対象だけを通す制御リスト。アプリ、IP、ドメイン、拡張機能、APIなどで使われる。…
個人を識別できないよう、不可逆にデータを加工すること。再識別リスクを十分に下げる設計と検証が必要。…
APIへのリクエスト回数や頻度を制限する仕組み。過負荷、乱用、認証情報攻撃、コスト増大を抑える。…
関連するレッスン
組織を守る実践的な防御策を学ぶ