この記事では、Facebook Threat Exchange のIntelligence Card Extensionについて説明します。
Facebook ThreatExchangeについて
Facebook ThreatExchange は、セキュリティ脅威情報のための API ベースのプラットフォームです。セキュリティ専門家や組織間で脅威情報を共有するフォーラムとして、2015 年 2 月に開始されました。創設時のビジョンの詳細については、Facebook のThreatインフラストラクチャ チームの管理者である Mark Hammell による紹介ブログ投稿をご覧ください。
この拡張機能を使用するには、ThreatExchange アプリ シークレットとアプリ ID を取得する必要があります。
この拡張機能を有効にすることに興味がある場合は、 Intelligence Card使用開始」ページも参照してください。また、 ThreatExchange 固有の API アクセスを取得するためのこのリンクも参照してください。
拡張機能は、いくつかの種類のインテリジェンス カードで利用できます。
- ドメイン
- ハッシュ
- IPアドレス
- マルウェア
- 脆弱性
Recorded Future のあらゆるエンティティ タイプに対する「オンザフライ」インテリジェンス カードの導入に伴い、拡張機能が改訂され、次の追加のインテリジェンス カード タイプのコンテンツも検索できるようになりました。
- 空港
- AS番号
- 攻撃ベクトル
- 会社情報
- 大陸
- 国
- ファイル名
- 州または州
- ソース
- URL
「TLP: White」または「TLP: Green」のフラグが付いた情報はすべて応答に含まれます。TLP: 組織固有の Amber データも結果に表示されます。
IPアドレスIntelligence Card拡張
Facebook ThreatExchange の次のThreat Intelligenceを使用して、任意の IP Intelligence Card強化できます。
- IOCタイプ
- TLPステータス
- IOCの説明
- Threatレベルと信頼度
- レビューステータス
- 日付を追加
- 所有者情報
- タグ
- 反応
[注: 拡張機能は、インテリジェンス カードが開かれたときに自動実行されるように設定されています]
[キャプション: この拡張機能を展開すると、多くの脅威記述子のリストが生成される場合があります]
ドメインIntelligence Card拡張
Facebook ThreatExchange の次のThreat Intelligenceを使用して、任意のドメインIntelligence Card強化できます。
- IOCタイプ
- TLPステータス
- IOCの説明
- Threatレベルと信頼度
- レビューステータス
- 日付を追加
- 所有者情報
- タグ
- 反応
ハッシュIntelligence Cardの拡張
Facebook ThreatExchange の次のThreat Intelligenceを使用して、ハッシュIntelligence Card強化できます。
- TLPステータス
- (ハッシュ)ステータス
- レビューステータス
- 日付を追加
- MD5ハッシュ
- SHA1ハッシュ
- SHA256ハッシュ
- SSDeepハッシュ
- 反応
Recorded Futureでは、応答内のさまざまなハッシュに基づいてピボットできます。
Vulnerability Intelligenceカードの拡張
Facebook ThreatExchange の次のThreat Intelligenceを使用して、 Vulnerability Intelligenceカードを強化できます。
- 脆弱性に関する情報源へのリンク
- IOCタイプ
- TLPステータス
- Threatレベルと信頼度
- レビューステータス
- 日付を追加
- 所有者情報
- タグ
- 反応
マルウェアカードの拡張
Facebook ThreatExchange の次のThreat Intelligenceを使用して、マルウェアIntelligence Card強化できます。
- TLPステータス
- 状態
- レビューステータス
- 日付を追加
- MD5ハッシュ
- SHA1ハッシュ
- SHA256ハッシュ
- SSDeepハッシュ
- 反応
Recorded Futureでは、応答内のさまざまなハッシュに基づいてピボットできます。
追加メモ:
Facebook TE に多数のエントリがある場合、カテゴリごとに最新の 25 件の結果のみが表示されます。