インシデント対応に脅威インテリジェンスを活用していますか?

これまで 前述の このブログでは、情報セキュリティ業界が優れた検知ソリューションを数多く生み出してきたことをご紹介しました。これらのツールが市場に登場したことで、組織は脅威インテリジェンス、つまり環境に対する既存または潜在的な攻撃に関する知識に注力できるようになりました。.

脅威インテリジェンスは組織にとって確かに不可欠ですが、今日のセキュリティ運用管理における喫緊の課題の一つは、インシデント対応と統合されていないケースがあまりにも多いことです。つまり、脅威インテリジェンスによって特定された潜在的な脅威に関するアラートはSOCに送られますが、その同じ脅威インテリジェンスを迅速に活用してアラートをさらに深く掘り下げ、アラートのコンテキストに関する追加情報を特定する手段がないのです。.

セキュリティ チームが検出ツールで既に収集している情報から最大限の価値を引き出すには、脅威インテリジェンス対応の情報 (ホスト名や IP アドレスなど) をダイジェストし、組織の脅威インテリジェンス データのリポジトリにクエリを実行して次のような質問の回答を得るソリューションが必要です。

• この攻撃は何と関連しているのでしょうか?

• この攻撃を遂行しているのは誰でしょうか?

• 他にも悪意のある操作を行っていますか?

• 次に何をすべきか プロセスに基づく チーム メンバーが過去に同様の攻撃を軽減するために使用し、ツールまたはプラットフォームでキャプチャされたものはありますか?

これらの質問、特に最後の質問に対する答えを得ることで、情報セキュリティ担当者は、より広範な状況認識に基づいて、脅威に包括的に対応できるようになります。.

インシデント対応管理における脅威インテリジェンスの活用を考える簡単な方法は、ビッグデータというレンズを通して考えることです。あらゆる業界の組織が膨大な情報を収集しており、ほぼすべての組織が、不要な情報を排除し、プロセス改善に実際に役立つデータに集中するための最も効率的な方法を模索しています。セキュリティ運用管理も例外ではありません。最も関連性の高い情報をより早く収集できればできるほど、キルチェーンのより早い段階で脅威に対応できるようになります。.