SwimlaneとVirusTotalを活用した自動化と脅威インテリジェンス構築 - パート1

Swimlaneは、豊富なすぐに使用可能な統合機能とAPIファーストのアーキテクチャにより、あらゆる組織の既存のセキュリティスタックとのシンプルな相互運用性を実現します。新規アプリケーションやカスタムアプリケーションとの統合も、一般的なスクリプト言語とRESTful APIを使用して容易に開発できます。.

SwimlaneとVirusTotalの新しいパートナーシップは、このアプローチを実践する素晴らしい例です。この2部構成のブログシリーズでは、まず私たちの連携方法をご紹介し、第2部では、この強力なテクノロジー統合を実際に利用したいユーザー向けに、ステップバイステップのガイダンスをご紹介します。.

VirusTotal の新しい VT Augment Widget 機能により、Swimlane やその他のアプリケーションは、Swimlane プラットフォーム内から最新の脅威インテリジェンスを表示できるだけでなく、すぐに実用的なインテリジェンス検出率を返すことができます。.

これにより、アナリストは最新かつ最も実用的なインテリジェンスを掘り下げることができるようになり、単一の API 呼び出しから初期分類とトリアージを自動化できるようになります。.

仕組み

新しいVT Augment機能をSwimlaneに統合するために、まずソリューションの設計方法を決定する必要がありました。そこで、以下のワークフローが決定されました。

1. フィッシングメールやXDRアラートなどのソースアラートがSwimlaneプラットフォームに入力されます

2. Swimlane は、ソースアラートを解析して、実行可能な侵害指標 (IOC) を探します。

   1. 外部IPアドレス

   2. ドメイン

   3. URL

   4. ファイルハッシュ（SHA1/SHA256/MD5）

3. スイムレーンは組織のAPIキーを使用してVT Augmentにクエリを実行します。 /ウィジェット/url エンドポイントに次のパラメータを渡します。

1. クエリ: 評判情報を取得したいIOC（必須）

2. fg1: メインウィジェットテキストの希望する16進色（オプション）

3. bg1: 希望する主要な背景色（16進数）（オプション）

4. bg2: 希望する2次背景色（16進数）（オプション）

5. bd1: 希望する境界線の色（16進数）（オプション）

4. VT Augment エンドポイントは、JSON 形式で次のデータ ポイントで応答します。

1. url: VT Augment Widget を表示するための iframe src として使用する URL

2. 検出率:

3. 検出: VTエンジンの検出数

4. 合計: スキャンされたエンジンの数

5. 返された検出率は、IOC の悪意の初期判定、および優先順位付けや IOC の性質の自動判定に基づく自動化を強化するために使用できます。.

6. 返されたURLはスイムレーンウィジェットのiframeに埋め込まれ、手動で分析できる状態になります。

7. アナリストがIOCの脅威インテリジェンスレコードを開くと、ウィジェットが自動的にレンダリングされ、VirusTotalのVT Augmentからの調査結果の完全版が表示されます。 /ウィジェット/html 終点。.

パート 2 では、Swimlane の脅威インテリジェンス アプリケーションに VT Augment 機能を追加するプロセスについて説明します。.