最新版では、インシデントの全体像と規模を把握するための「リサーチグラフ」および「IoCのタグ付け」機能を新たに提供します。
情報セキュリティソリューションを提供する株式会社カスペルスキー(本社:東京都千代田区、代表取締役社長:藤岡健)は、脅威インテリジェンスの融合・分析ツール「Kaspersky CyberTrace」の最新版バージョン4.1を本日から提供開始します※1。最新版では、インシデントの全体像と規模を把握するための「リサーチグラフ」および「IoCのタグ付け」機能を新たに提供します。有効なライセンスをお持ちの場合は、無償で最新バージョンをご利用いただけます。なお、これまで無償提供しているコミュニティ版※2でも同じ新機能をお使いいただけます。
サイバー脅威の早期発見、分析のために導入されている複数の脅威インテリジェンスソースは、常に膨大な量の情報を処理し、無数のアラートを生成しています。断片的で複数のフォーマットのログデータが混在しているため、アラートの優先順位付けやトリアージ、検証を効果的に行うことは非常に困難になっています。そのため、真の脅威を特定することは、企業のITセキュリティ部門にとって最も重要な課題の一つです。
Kaspersky CyberTraceは、SIEMなどのセキュリティワークフローと脅威データフィードを統合し、ログと脅威データべ―スを自動的に照合・分析するツールです。ログと脅威データベースを照合することでセキュリティに関するアラートの優先順位付けが可能となり、初期段階の対応を効率よく行うことができます。各フィードの有効性を評価し、リアルタイムで状況確認が可能になるため、分析担当者はタイムリーかつ適切な情報に基づいた意思決定と対応が行えます。
図1:Kaspersky CyberTrace構成図例
■ Kaspersky CyberTraceの概要
独自の統合アプローチ
・多数のIoC(侵害の痕跡)がSIEMに取り込まれることに起因する、インシデント処理の遅れや検知の見逃しの問題を解決します。SIEMに送信されるログからIoCを自動で抽出し、CyberTraceのエンジンで分析します。これにより、SIEM側のワークロードの大幅な削減と高速での処理が可能になります。
・当社の数百人におよぶサイバーセキュリティ専門家のナレッジによって生成された 「Kaspersky Threat Data Feed」※3の幅広いポートフォリオがネイティブ統合されています。
・CyberTraceへの脅威インテリジェンスフィードは、既存のJSON、XML、CSV形式に加え、最新版ではSTIX 2.0/2.1、およびTAXII2.0/2.1に対応しました※4。
容易な管理
・CyberTraceのWebダッシュボードには、脅威インテリジェンスフィード別の統計情報(レコード数、検知数)やURL/ハッシュ/IPアドレスごとに照合数と検知数が表示され、その組織に最も関連性が高い脅威インテリジェンスのストリームを確認することができます。また、マルチテナント機能によって、ナレッジの共有や脅威インテリジェンスの実践における意思決定者への報告が容易になります。さまざまな事業所(テナント)からイベントを処理することも可能です。
・新機能の「IoCのタグ付け」では、IoCにタグの作成とその重みづけを決めることができるため、インシデントの重要度を評価する際に有用です。また、IoCはそれぞれのタグや重みづけに基づいて、自動で並べ替えやフィルタリングすることができます。この機能はIoCグループとその重要度の管理を簡素化することに役立ちます。
脅威調査に便利なツール
・新たにインシデントの全体像と規模を把握できる「リサーチグラフ」機能を搭載しました。URL、ドメイン、IPアドレス、ファイルなどの関連性を視覚化し、分析担当者が脅威の共通点を発見し、より効率的な対応を取ることに役立ちます。リサーチグラフは、CyberTraceに取り込まれたフィード、「Kaspersky Threat
Intelligence Portal※5」からのエンリッチ化されたデータ、手動で追加されたインジケーターなどで構成されます。
図2:インシデント全体を可視化する「リサーチグラフ」例
・REST APIを使用し、脅威インテリジェンスの調査や管理ができるほか、自動化やオーケストレーションのために複雑な環境に対してもCyberTraceを容易に統合することが可能です。
・インジケーターフィールド全てを使用した複雑な検索や、過去にチェックしたイベントの観測値を最新フィードで分析することができます。また、統合されたフィードの有効性のマトリックスも提供します。
※1 Kaspersky CyberTraceは、セキュリティオペレーションセンター向けソリューション「Kaspersky for Security
Operations Center」に含まれます。Kaspersky CyberTraceの価格や詳細は、カスペルスキー エンタープライズ営業本部にお問い合わせください。
※2 Kaspersky CyberTraceのコミュニティ版は引き続き無料でご利用いただけますが、一部制限があります。マルチユーザーアカウントやマルチテナントアカウントを追加する機能は含まれていません。1秒当たりのイベント処理件数は最大250件まで、ダウンロードできるIoCの数は最大100万件までです。有料版に制限はありません。
※3「Kaspersky Threat Data Feed(脅威データフィード)」の詳細はこちらをご覧ください。
※4 STIX(Structured Threat
Information eXpression)は脅威情報を記述するための技術仕様、TAXII(Trusted Automated eXchange of Indicator Information)は、脅威情報を交換するための技術仕様です。
※5 「Kaspersky Threat
Intelligence Portal」は、当社が20年以上にわたり収集したサイバー攻撃に関するデータや知見など脅威インテリジェンスを利用して、疑わしいファイル、IPアドレス、URL、ハッシュ値などについて調査できるポータルサイトです。
本プレスリリースは、2021年12月15日現在の情報を基に作成しています。今後、価格の変更、仕様の変更、バージョンアップなどにより、内容の全部もしくは一部に変更が生じる可能性があります。記載されている製品名などの固有名詞は、各社の商標または登録商標です。