概要
Threat Intelligence は、対応者が攻撃や侵害について情報に基づいた判断を下すのに役立つ評判情報です。
Datadog は、商用、オープンソース、および自社の脅威インテリジェンスの侵害指標をカテゴリーと意図に分類しています。脅威インテリジェンスは、ソースごとに少なくとも 1 日 1 回更新されます。このデータは、ログとトレースを関連する評判情報でリッチ化するために使用されます。
脅威インテリジェンスのライフサイクル
Datadog は、以下に挙げるエンティティタイプにわたって脅威インテリジェンスを収集します。各エンティティタイプには固有の特徴と有用なタイムフレームがあります。このタイムフレーム (ライフサイクル) は、データに対する脅威インテリジェンスの一致の重要性を評価する際に考慮する必要があります。
ファイルハッシュ: 一意のデジタルフィンガープリント
ファイルハッシュは、特定のファイルに対する一意のデジタフィンガープリントとして機能します。ファイルハッシュがマルウェアとしてマークされた場合、そのファイルの正確なコンテンツが有害であることを意味します。ハッシュの不変性は、そのファイルのコンテンツと結びついているため、一貫した識別が保証されます。その結果、マルウェアとしてタグ付けされたファイルハッシュは、識別が真陽性であれば、この識別を保持します。
アプリケーションパッケージ: 配布におけるマルウェアのリスク
不変のファイルハッシュとは異なり、アプリケーションパッケージは同じバージョン番号であっても、内容やセキュリティが異なる可能性があります。悪意のある行為者は、正当なパッケージを模倣した有害なパッケージをアップロードするかもしれませんし、マルウェアを導入することで既存のパッケージを危険にさらすかもしれません。悪意のあるパッケージのライフサイクルは頻繁に長くなりますが、不変ではありません。
ドメイン: 一時的な署名
ファイルハッシュとは異なり、悪意のあるドメインとして識別されたドメインは変更される可能性があります。様々なエンティティによって、修復、再割り当て、再利用などのプロセスが行われる可能性があります。悪意のあるドメインや疑わしいドメインのライフサイクルは、IP アドレスに比べると多少長くなりますが、一時的で変化しやすいことに変わりはありません。
IP アドレス: 動的および一時的
IP アドレスは脅威インテリジェンスにおける最も変動しやすい要素を代表し、24 時間周期で評判が変わることがよくあります。IP アドレスの動的な性質、特に複数のホストが関与する可能性のある家庭用ネットワークやモバイルネットワークでは、そのステータスを定期的に再評価することが極めて重要です。評判の低い IP アドレスに接続しているすべてのホストが本質的に悪意があるわけではないため、相関関係の必要性が強調されます。
脅威インテリジェンスのベストプラクティス
脅威インテリジェンスでは、評判がキーとなりますが、他の証拠と比較検討する必要があります。トラフィックをブロックするために IP やドメインのインテリジェンスだけに頼ることは、ごく少数の例外を除いて推奨されません。バランスの取れた、証拠に基づくアプローチが不可欠です。
検出ルール内で使用される脅威インテリジェンスは、カテゴリーや意図といった Datadog のキー項目を参照すべきです。その他のキーは使用しないでください。
脅威インテリジェンスの透明性
Datadog は、検出に関連する外部の脅威インテリジェンスソースへの外部リンクを提供することで、透明性を確保します。Datadog がキュレーションした脅威インテリジェンスは、Datadog プラットフォームに取り込まれ、リッチ化と検出が行われます。Datadog が脅威インテリジェンスソースに顧客データを送信することはありません。
検出とリッチ化は、UI とイベント JSON でアクセスできます。
脅威インテリジェンスファセット
ソース、カテゴリー、意図は、関連する製品エクスプローラーのファセットやフィルターとして利用できます。
脅威インテリジェンスソース
| ソース | カテゴリー | ソースの使用例 | 主要製品 |
|---|
| Datadog Threat Research | スキャナ、エクスプロイト | ソフトウェア固有の脅威に特化したハニーポット | ASM と CWS |
| Spur | residential_proxy | クレデンシャルスタッフィングと詐欺に関連するプロキシ | ASM と Cloud SIEM |
| Spur | malware_proxy | マルウェアのコマンドとコントロールに関連するプロキシ | GRPC |
| Abuse.ch Malware Bazaar | マルウェア | ホスト上のマルウェア | CWS |
| Minerstat | マルウェア | 既知のマイニングプールでのコインマイナー活動 | CWS |
| Tor | tor | ユーザーアクティビティに関するポリシー違反 | AWS、Cloud SIEM、CWS |
脅威インテリジェンスカテゴリー
| カテゴリー | 意図 | エンティティタイプ | 製品の使用例 | 主要製品 |
|---|
| residential_proxy | 疑わしい | IP アドレス | クレデンシャルスタッフィングと詐欺の評判 | ASM と Cloud SIEM |
| botnet_proxy | 疑わしい | IP アドレス | ボットネットの一部であり、分散攻撃に貢献しているという評判 | ASM と Cloud SIEM |
| マルウェア | 悪意がある | アプリケーションライブラリのバージョン、ファイルハッシュ | 悪意のあるパッケージとマイニングプールとの通信 | CWS |
| スキャナー | 疑わしい | IP アドレス | スキャナーの評判 | ASM と Cloud SIEM |
| hosting_proxy | 疑わしい | IP アドレス | 分散クレデンシャルスタッフィング攻撃など、悪用の評判があるデータセンター IP | ASM と Cloud SIEM |
| Tor | 疑わしい | IP アドレス | ユーザーアクティビティに関する企業ポリシー違反 | ASM と Cloud SIEM |
脅威インテリジェンスの意図
| 意図 | 使用例 |
|---|
| 良性 | 企業 VPN と情報のリッチ化 |
| 疑わしい | 低い評判 |
| 悪意がある | 悪意のある評判 |
エンティティタイプ
| エンティティタイプ | 例 | 使用例 |
|---|
| IP アドレス | 128.66.0.1 | 攻撃、コマンドとコントロール、スキャンアクティビティに関連する IP アドレスの特定 |
| ドメイン | example.com、subdomain.example.com | 悪意のある使用に関連するドメイン。マルウェアのコマンドとコントロールとしてよく使用されます |
| アプリケーションパッケージのバージョン | (example_package、1.0.0) | PyPi からダウンロードされた悪意のあるパッケージの特定 |
| ファイルハッシュ [SHA1、SHA256] | 5f7afeeee13aaee6874a59a510b75767156f75d14db0cd4e1725ee619730ccc8 | マルウェアまたは侵害に関連する明確なファイルの特定 |
注: 現在、脅威インテリジェンスのソースとカテゴリは構成変更できません。
その他の参考資料
