新人SEからVision Oneマスターに、私はなる！　#10 Third-Party Intelligence：幅広い情報ソースから脅威を調査

1. Third-Party Intelligenceとは？

Vision Oneでは、XDRの機能を使って組織内の脅威を検出するために、基本的にはトレンドマクロが随時更新をしている脅威の"検出フィルタ、ルール、検出モデル"を利用しています。

実は、その他にも、今日ご紹介するメニューでユーザが独自にカスタムインテリジェンス^※1を補完することも可能です。

「Threat Intelligence＞Third-Party Intelligence」では、カスタムインテリジェンスとしてTAXIIフィード^※2やMISP^※3を登録してThreat intelligenceを取得することが可能となっています。

登録したTAXIIフィードやMISPからデータを取得すると、「Threat Intelligence＞Intelligence Reports＞カスタムレポート」が作成されます。

※1 カスタムインテリジェンス：サードパーティから取得した脅威インテリジェンスデータを独自に選択することができる機能です。
※2 TAXIIフィード：脅威インテリジェンスデータを共有するフォーマットです。
※3 MISP：脅威インテリジェンスデータを共有するオープンソースのプラットフォームです。

上図のようにIntelligence Report、Suspicious Object Managementを利用するにはXDRセンサーのライセンスが必要であり、Sandbox Analysisの利用には別途Creditが必要となります。

※図中の製品について
Apex One SaaS（Trend Micro Apex One SaaS）：エンドポイントを保護するSaaSのセキュリティ製品です。
CAS（Trend Micro Cloud App Security）：クラウドアプリケーションを保護するSaaSのセキュリティ製品です。
Service Gateway：オンプレミスのトレンドマイクロ製品やサードパーティ製品と連携させるための仮想アプライアンスサーバーです。

2.Third-Party Intelligenceのメリットは？

Vision Oneの備え付けの検出モデルでの検出だけでなく、幅広い情報ソースからの脅威を調査し見つけ出したいというお客さまには大きな3つのメリットがあります！

1.トレンドマイクロのXDRの検出モデルが更新されるよりも早く、特定の脅威情報からデータレイクに合致するイベントがなかったか確認が可能です
2.既にTAXIIフィードやMISPを運用している場合、既存のリソースからのインテリジェンス情報をVision Oneでの脅威検出に活用が可能です
3.Vision OneのThreat intelligenceをMISPに共有することも可能です

3.Third-Party Intelligenceの使い方

3.1　TAXIIフィードとの統合

●TAXII Feedの追加と編集
1.Threat Intelligence＞Third-Party Intelligence＞TAXII Feedsに移動します。

2.TAXIIフィードを追加します。
3.[一般]設定
    a.TAXIIサーバのバージョンを選択します。
    注：TAXII2.0および2.1がサポートされています。フィードが追加された後は、TAXIIサーバのバージョンを変更することはできません。
    b.TAXIIフィードの検出URLを入力します。

4.[コレクション]設定
    a.[ディスカバー]：使用可能なコレクションを1つ以上検索して選択します。
    b.[不審オブジェクトの抽出とブロック]：有効にする場合は、をクリックして、次の不審オブジェクトの種類を1つ以上選択し、TAXIIフィードコレクションから抽出し、不審オブジェクトリストに追加します。
    c.[自動スイープを実行]：有効にすると、サブスクリプションが成功した直後に実行される1回限りのスイープタスクが開始され、現在のコレクションから抽出されたインジケータの履歴データが検索されます。スイープでは、「レポート」タイプのSTIXオブジェクトのみがサポートされます。

5.[ポーリング条件]設定
    a.TAXIIフィードで情報をポーリングする頻度を選択します。
    b.ポーリング時に過去の情報を取得するためにさかのぼる期間を選択します。

6.[保存]をクリックします。
TAXIIフィードは[TAXIIフィード]画面に表示され、カスタムインテリジェンスレポートを作成するために処理されます。
作成されたレポートはThreat Intelligence＞Intelligence Reportsをクリックし、[カスタム]タブから確認できます。

3.2　MISP

●MISPの統合設定
1.Threat Intelligence＞Third-Party Intelligence＞MISPに移動します。

2.「有効にする場合必ずお読みください」をクリックして内容を確認し、[同意する]をクリックし、
[MISPの統合]を有効にします。

●MISPへ不審オブジェクトデータを転送する設定
1.[MISPへデータを転送]を選択します。
2.[イベントタグ]で不審オブジェクトデータの転送先のタグを指定します。
3.転送データに含める不審オブジェクトデータのリスクレベルを選択します。
4.不審オブジェクトデータを転送する頻度を選択します。

●MISPから脅威情報を取得する設定
1.[MISPからデータを取得]を選択します。
2.[頻度]：脅威情報を取得する頻度を選択します。
3.[次から取得：]：脅威情報の取得を開始する過去の期間を選択します。

4.[イベントタグを登録]：取得する脅威情報を指定します。
    a.[イベントタグ]：脅威情報を取得するイベントタグを指定します。
    b.[不審オブジェクトを抽出してブロック]：有効にする場合は赤枠部分をクリックし、不審オブジェクトの種類を1つ以上選択して[不審オブジェクトリスト]に追加します。

    c.[自動スイープを実行]：有効にすると取得に成功した直後に1回限りのスイープタスクが実行され、脅威情報から抽出されたオブジェクトの履歴データが検索されます。スイープでは、「レポート」タイプのSTIXオブジェクトのみがサポートされます。

●Service Gatewayとの接続設定
1.[接続]をクリックし、接続させるService Gatewayを選択します。
※Service GatewayのサービスでMISPとの統合を有効化させる必要があります。

2.使用するService Gatewayや統合するMISPを設定します。

3.3　結果

一例ですが、3.2のように設定を行うと、Vision OneからMISPへ転送された脅威情報を確認することができるようになります。

逆にMISPから受け取った脅威情報は下図のようにレポート作成され、Threat Intelligenceで管理されます。

4.さいごに

お疲れさまでした。
このブログでは、Third-Party Intelligenceの概要やメリットや実際の使用方法についてご紹介いたしました。
幅広い情報ソースからの脅威を調査し見つけ出したい場合に役立てていただければ幸いです。

他の機能について確認されたい場合は、本シリーズ第2回目の「新人SEからVision Oneマスターに、私はなる！　#2 トレンドマイクロのEDR/XDRを簡単に紹介」に一覧をまとめているのでご参照ください。
本シリーズでは、この後もその他の便利な機能の紹介記事を書いていく予定ですので、一緒にVision Oneマスターを目指していきましょう！
ここまでお読みいただき、ありがとうございました。

最新のVision Oneについての情報については、Online Helpをご確認ください。
Vision Oneのトライアルはこちらからお申込みください！