2023 年のベスト脅威インテリジェンス プラットフォーム 8

テクノロジーの進歩により参入障壁が低くなり、サービスとしてのランサムウェア (RaaS) の出現により問題が悪化したため、脅威アクターは新たな攻撃方法で収益化の技術、戦術、および手順 (TTP) を多様化しています。

組織がこのレベルの洗練に対応するには、脅威インテリジェンスがセキュリティ体制の重要な部分になる必要があります。脅威インテリジェンスは、現在の脅威に関する実用的な情報を提供し、悪意のある攻撃から企業を保護するのに役立ちます。

脅威インテリジェンス プラットフォームとは何ですか?

脅威インテリジェンス プラットフォーム (TIP) は、組織が複数のソースから脅威インテリジェンス データを収集、分析、集約できるようにするテクノロジーです。この情報により、企業は潜在的なセキュリティ リスクを事前に特定して軽減し、将来の攻撃から防御することができます。

サイバー脅威インテリジェンスは、企業の重要なセキュリティ コンポーネントです。最新のサイバー脅威と脆弱性を監視することで、組織は潜在的なセキュリティ侵害を IT 資産に損害を与える前に検出して対応できます。

脅威インテリジェンス プラットフォームはどのように機能しますか?

脅威インテリジェンス プラットフォームは、オープンソース インテリジェンス (OSINT)、ディープ Web およびダーク Web、独自の脅威インテリジェンス フィードなどの複数のソースから脅威インテリジェンス データを収集することで、企業がデータ侵害のリスクを軽減するのに役立ちます。

TIP はデータを分析し、パターン、傾向、潜在的な脅威を特定し、この情報を SOC チームおよび他のセキュリティ システム (ファイアウォール、侵入検知システム、セキュリティ情報およびイベント管理 (SIEM) システムなど) と共有して、被害を軽減します。 IT インフラストラクチャ。

脅威インテリジェンス プラットフォームの利点

脅威インテリジェンス プラットフォームは、組織に次のようなさまざまなメリットをもたらします。

• プロアクティブな脅威検出
• セキュリティ体制の向上
• より良いリソース割り当て
• 合理化されたセキュリティ運用

TIP のその他の利点には、脅威への自動対応、コスト削減、可視性の向上などがあります。

脅威インテリジェンス プラットフォームの主な機能

脅威インテリジェンス プラットフォームの主な機能は次のとおりです。

• データ収集機能
• リアルタイムの脅威の優先順位付け
• 脅威分析
• ディープウェブとダークウェブを監視する機能
• 攻撃と脅威を視覚化するグラフの豊富なライブラリとデータベース
• 既存のセキュリティ ツールおよびシステムとの統合
• マルウェア、フィッシング詐欺、悪意のある行為者を調査する

最良の TIP は、複数のソースおよび形式から脅威インテリジェンス データを収集、正規化、集約、整理できます。

オートフォーカス

パロアルトネットワークスの AutoFocus は 、追加の IT リソースを必要とせずに、重大な攻撃を特定し、予備評価を実施し、状況を修復するための措置を講じることができるクラウドベースの脅威インテリジェンス プラットフォームです。このサービスは、企業ネットワーク、業界、およびグローバル インテリジェンス フィードから脅威データを収集します。

AutoFocus は、Unit 42 – パロアルト ネットワーク脅威調査チーム – から最新のマルウェア キャンペーンに関する情報を提供します。脅威レポートはダッシュボードで表示できるため、悪意のある攻撃者のテクニック、戦術、および手順 (TTP) をさらに可視化できます。

主な特長

• Unit 42 の調査フィードは、最新のマルウェアの戦術、テクニック、手順に関する情報を可視化します。
• 毎日 4,600 万件の実際の DNS クエリを処理
• Cisco、Fortinet、CheckPoint などのサードパーティ ソースから情報を収集します
• このツールは、オープンで機敏な RESTful API を使用して、セキュリティ情報およびイベント管理 (SIEM) ツール、社内システム、その他のサードパーティ ツールに脅威インテリジェンスを提供します。
• ランサムウェア、バンキング型トロイの木馬、ハッキング ツール用の事前構築済みタグ グループが含まれています
• ユーザーは検索条件に基づいてカスタム タグを作成することもできます
• STIX、JSON、TXT、CSVなどのさまざまな標準データ形式に対応

このツールの価格は、パロアルト ネットワーク Web サイトでは公開されていません。購入者は会社の営業チームに問い合わせて見積もりを依頼する必要があります。また、ソリューションの機能とそれを企業で活用する方法について詳しく知るために製品デモをリクエストすることもできます。

犯罪的知財

Criminal IP は 、すべてのサイバー資産に関する包括的な脅威情報を提供する CTI 検索エンジンです。 AI 機械学習テクノロジーを使用し、24 時間 365 日のスキャン プロセスを通じて世界中の IP アドレスのオープン ポートを監視し、5 段階のリスク スコア付きのレポートを提供します。

Criminal IP は、強力な検索エンジンであるだけでなく、 攻撃対象領域管理 、侵入テスト、脆弱性とマルウェアの分析などのさまざまなアプリケーションも提供します。

主な特長

• 脆弱性の分析とCVE情報の提供
• 世界中の IP アドレス データをリアルタイムで収集および分析
• さまざまな既存のワークフローや製品との統合

エンジンログ360の管理

ManageEngine Log360 は 、企業にネットワーク セキュリティの可視性を提供し、Active Directory の変更を監査し、Exchange サーバーとパブリック クラウドの設定を監視し、ログ管理を自動化するログ管理および SIEM ツールです。

Log360 は、ADAudit Plus、Event Log Analyzer、M365 Manager Plus、Exchange Reporter Plus、Cloud Security Plus を含む 5 つの ManageEngine ツールの機能を組み合わせたものです。

Log360 脅威インテリジェンス モジュールには、グローバルな悪意のある IP を含むデータベースと、グローバルな脅威フィードからデータを頻繁に取得して更新する STIX/TAXII 脅威フィード プロセッサが含まれています。

主な特長

• 統合されたクラウド アクセス セキュリティ ブローカー (CASB) 機能が含まれており、クラウド内のデータの監視、シャドウ IT アプリケーションの検出、認可されたアプリケーションと認可されていないアプリケーションの追跡を支援します。
• エンタープライズ ネットワーク、エンドポイント、ファイアウォール、Web サーバー、データベース、スイッチ、ルーター、その他のクラウド ソースにわたる脅威を検出します。
• リアルタイムのインシデント検出とファイル整合性の監視
• MITRE ATT&CK フレームワークを使用して、攻撃チェーンで発生する脅威に優先順位を付けます。
• 攻撃検出には、ルールベースのリアルタイム相関、動作ベースの ML ベースのユーザーおよびエンティティ動作分析 (UEBA)、シグネチャベースの MITRE ATT&CK が含まれます。
• 電子情報開示のための統合データ損失防止 (DLP)、データ リスク評価、コンテンツ認識型保護、ファイル整合性監視が含まれます。
• リアルタイムのセキュリティ分析
• 統合的なコンプライアンス管理

Log360 は 1 つのファイルでダウンロードでき、無料とプロフェッショナルの 2 つのエディションがあります。ユーザーは、Professional Edition の高度な機能を 30 日間の試用期間中に体験でき、その後、これらの機能は無料版に変換されます。

AlienVault USM

AlienVault USM プラットフォームは AT&T によって開発されました。このソリューションは、脅威の検出、評価、インシデント対応、コンプライアンス管理を 1 つの統合プラットフォームで提供します。

AlienVault USM は、脅威全体にわたって発見されたさまざまな種類の攻撃、新たな脅威、不審な動作、脆弱性、エクスプロイトに関する最新情報を AlienVault Labs から 30 分ごとに受け取ります。

AlienVault USM は、エンタープライズ セキュリティ アーキテクチャの統合ビューを提供し、オンプレミスまたはリモートの場所にあるネットワークとデバイスを監視できるようにします。また、SIEM 機能、AWS、Azure、GCP のクラウド侵入検知、ネットワーク侵入検知 (NIDS)、ホスト侵入検知 (HIDS)、エンドポイント検知と対応 (EDR) も含まれています。

主な特長

• リアルタイムのボットネット検出
• コマンド アンド コントロール (C&C) トラフィックの識別
• 高度な持続的脅威 (APT) の検出
• GDPR、PCI DSS、HIPAA、SOC 2、ISO 27001 などのさまざまな業界標準に準拠
• ネットワークとホストの IDS 署名
• イベントおよびログ データの一元収集
• データ漏洩の検出
• AlientVault は、AWS、Microsoft Azure、Microsoft Hyper-V、VMWare などのクラウド環境とオンプレミス環境を 1 つの画面から監視します。

このソリューションの価格は、エッセンシャル プランで月額 1,075 ドルからです。購入希望者は、14 日間の無料トライアルにサインアップして、ツールの機能について詳しく知ることができます。

Qualys 脅威保護

Qualys Threat Protection は 、高度な脅威保護と対応機能を提供するクラウド サービスです。これには、脆弱性のリアルタイムの脅威指標が含まれており、Qualys および外部ソースからの調査結果をマッピングし、外部の脅威情報を脆弱性および IT 資産インベントリと継続的に関連付けます。

Qualys の脅威保護を使用すると、ウィジェットと検索クエリからカスタム ダッシュボードを手動で作成し、検索結果を並べ替え、フィルタリング、絞り込むことができます。

主な特長

• 集中管理および可視化パネル
• 脆弱性公開のライブフィードを提供します
• ゼロデイ攻撃、パブリックエクスプロイト、積極的な攻撃、高レベルの水平移動、高レベルのデータ損失、サービス妨害、マルウェア、パッチなし、エクスプロイトキット、および簡単なエクスプロイト用の RTI
• アドホック クエリを作成して特定の資産や脆弱性を検索できる検索エンジンが含まれています
• Qualys の脅威保護は、外部の脅威情報を脆弱性および IT 資産インベントリと継続的に関連付けます。

購入者が購入を決定する前にツールの機能を試すことができるように、30 日間の無料トライアルが提供されています。

SOCRadar

SOCRadar は 、外部攻撃対象領域管理 (EASM)、デジタル リスク保護サービス (DRPS)、サイバー脅威インテリジェンス (CTI) を組み合わせた SaaS ベースの拡張脅威インテリジェンス (XTI) プラットフォームであると自社を説明しています。

このプラットフォームは、インフラストラクチャ、ネットワーク、データ資産の可視性を提供することで、企業のセキュリティ体制を向上させます。 SOCRadar の機能には、リアルタイムの脅威インテリジェンス、自動ディープ Web スキャンおよびダーク Web スキャン、統合されたインシデント対応が含まれます。

主な特長

• SOAR、EDR、MDR、XDR などの既存のセキュリティ スタックや SIEM ソリューションと統合
• 150を超えるフィードソースがある
• このソリューションは、マルウェア、ボットネット、ランサムウェア、フィッシング、悪い評判、ハッキングされた Web サイト、分散型サービス拒否攻撃 (DDOS)、ハニーポット、攻撃者などのさまざまなセキュリティ リスクに関する情報を提供します。
• 業界および地域ベースのモニタリング
• MITRE ATT および CK マッピング
• 6,000 を超えるコンボ リストへのアクセス権 (資格情報とクレジット カード)
• ディープウェブとダークウェブの監視
• 侵害された資格情報の検出

SOCRadar には、SOC チーム向けサイバー脅威インテリジェンス (CTI4SOC) と拡張脅威インテリジェンス (XTI) の 2 つのエディションがあります。どちらのプランも、無料と有料の 2 つのバージョンがあり、CTI4SOC プランは年間 9,999 ドルから始まります。

Solarwinds セキュリティ イベント マネージャー

SolarWinds Security Event Manager は、 ネットワーク デバイスやアプリケーションを含む 100 を超える事前構築されたコネクタからイベント ログ データを収集、正規化、関連付けする SIEM プラットフォームです。

SEM を使用すると、セキュリティ ポリシーを効果的に管理、監視し、ネットワークを保護できます。収集されたログをリアルタイムで分析し、収集した情報を使用して、企業インフラストラクチャに重大な損害を与える前に問題を通知します。

主な特長

• インフラストラクチャを 24 時間 365 日監視します
• SEM には、Atlassian JIRA、Cisco、Microsoft、IBM、Juniper Sophos、Linux などを含む 100 個の事前構築済みコネクタがあります
• コンプライアンスリスク管理を自動化します
• SEM にはファイル整合性監視が含まれます
• SEM は、ログの収集、イベントの関連付け、脅威データ リストの監視をすべて 1 つの画面で行います。
• プラットフォームには 700 を超える相関ルールが組み込まれています
• ユーザーはレポートを PDF または CSV 形式でエクスポートできます

Solarwinds Security Event Manager は、2,877 ドルから始まるサブスクリプションと 5,607 ドルから始まる永久ライセンスの 2 つのライセンス オプションを備えた 30 日間の無料トライアルを提供します。このツールは、ログとイベント情報を送信するノードの数に基づいてライセンスが付与されます。

Tenable.sc

Nessus テクノロジーに基づいて構築された Tenable.sc は 、組織のセキュリティ体制と IT インフラストラクチャに関する洞察を提供する脆弱性管理プラットフォームです。 IT 環境全体の脆弱性データを収集して評価し、長期にわたる脆弱性の傾向を分析して、優先順位を付けて是正措置を講じることができます。

Tenable.sc 製品ファミリー (Tenanble.sc および Tenable.sc+) を使用すると、脆弱性を特定、調査、優先順位付け、修復できるため、システムとデータを保護できます。

主な特長

• CERT、NIST、DISA STIG、DHS CDM、FISMA、PCI DSS、HIPAA/HITECH などの業界標準への準拠を合理化しました。
• パッシブ資産検出機能により、サーバー、デスクトップ、ラップトップ、ネットワーク デバイス、Web アプリ、仮想マシン、モバイル、クラウドなどのネットワーク上の IT 資産を検出して識別できます。
• Tenable Research チームは、組織の保護に役立つ最新の脆弱性チェック、ゼロデイ調査、構成ベンチマークに関する更新を頻繁に提供します。
• Tenable は、67,000 を超える共通脆弱性およびエクスポージャ (CVE) のライブラリを維持しています。
• ボットネットとコマンドアンドコントロールトラフィックのリアルタイム検出
• Tenable.sc ディレクターには、すべての Tenable.sc コンソールにわたるネットワークの表示と管理を支援する単一画面が含まれています

Tenable.sc は年間ライセンスであり、資産ごとに 1 年間のライセンスは 5,364.25 ドルから始まります。複数年ライセンスを購入すると費用を節約できます。

結論

このガイドでは、7 つの脅威インテリジェンス プラットフォームとその際立った機能を分析しました。最適なオプションは、脅威インテリジェンスのニーズと好みによって異なります。特定のツールを選択する前に、製品デモをリクエストしたり、無料トライアルにサインアップしたりできます。

これにより、それが会社の目的にかなうかどうかをテストして判断できます。最後に、質の高いサポートを提供していることを確認し、脅威フィードを更新する頻度を確認します。

次に、サイバー攻撃シミュレーション ツールをチェックしてみましょう。