はじめに

このドキュメントではRecorded Future MISP のThreat Intelligenceフィードおよびエンリッチメント モジュールとして統合することでサポートされる、すぐに使用できるユースケースについて説明します。 この統合により、MISP ユーザーは Recorded Future を組み込んで次のことが可能になります。

• Recorded Futureでインテリジェンスを強化
• MISPでRecorded Future知能を集約する
• 外部の脅威データとの関連付け

統合のインストールおよび構成方法の詳細については、こちらの当社 Web サイトからダウンロードできるインストール ガイドを参照してください。

ユースケース

豊かにする

MISP で悪意のある可能性のあるインジケーターを調査する場合、Recorded Future はコンテンツを既存のイベントの属性として保存し、追加のコンテキストを提供できる可能性があります。たとえば、別のThreat Intelligence情報ソースから提供された、企業環境で見つかったマルウェアに関連するファイル ハッシュを確認する場合があります。 Recorded Future エンリッチメントを実行すると、リスク スコアとリスク証拠をファイル ハッシュのタグとして適用できます。配信フェーズ中にフィッシング キャンペーンの一部として利用されたドメインや、データを盗み出すために利用された IP など、特定のハッシュに関連するインフラストラクチャなどの追加のコンテキストが返されることがあります。ハッシュに関連付けられた IP、ドメイン、URL、ハッシュ、電子メール、脆弱性を追加する前に、インテリジェンスを確認し、関連するエンティティとして検証したものを保存する機会が与えられます。誤検出を減らすために、エンリッチメントによって 5 回以上共参照されたインフラストラクチャのみが返されます。ハッシュが属するマルウェア ファミリ、またはその特定のマルウェアを使用することが知られているアクターも返されます。これらは可能な限り MISP 銀河にマッピングされ、異なるデータセット間での情報の相関関係を可能にします。この情報を 1 つの画面に表示することで、プラットフォーム間を行き来する必要性が軽減されます。エンリッチメントでは次のフィールドがサポートされます。

• リスクスコアをタグとして
• リスクルールをタグとして
• リスク階層をタグとして
• MISP銀河の関連アクター
• MISP 銀河としての関連マルウェア ファミリー
• 関連するMITRE ATT&CKコード（Galaxies）
• 関連ドメインを属性として
• 属性としての関連IP
• 属性としての関連URL
• 属性としての関連ハッシュ
• 関連するVulnerabilityを属性として

集約

MISP は、さまざまなデータ情報ソースからのThreat Intelligenceを単一のシステムに集約することを容易にします。 これは、MISP のすぐに使用できるフィード コンポーネントを使用して、Recorded Future でリスク リストごとに実行できます。以下のスクリーンショットは、「フィード追加」をクリックした後、MISP でRecorded Futureリスク リストを有効にする方法を示しています。

組織が関心を持つインテリジェンスの種類に応じて、ニーズを満たすさまざまなリスク リストの組み合わせがあります。以下では、最も一般的な顧客のユースケースに基づいて、どのリスク リストを有効にするかを説明します。 取り込み時に次のフィールドがサポートされます。

• リスクスコアをタグとして
• リスクルールをタグとして
• リスク階層をタグとして
• Mitre ATT&CK マッピングをタグとして

コマンドとコントロール

以下のリスク リストで提供される指標は、指揮統制活動に関連するものとして特定されています。コマンド アンド コントロール アクティビティは、データの流出、分散型サービス拒否、再起動、シャットダウンなど、攻撃の最終段階で実行される最も有害なアクティビティです。

• IP: C2通信IP
  • コマンド アンド コントロール データセットは、これら 2 つの方法を融合して、陽性 C2 としてスキャンした IP を識別して追跡し、通信を観察して、C2 が感染したマシンとどのように対話しているか、また脅威アクター / 敵対者によってどのように制御されているかを理解します。
  • https://api.recordedfuture.com/gw/misp/feed/scf_c2_communicating_ips

• IP: recentActiveCnc (アクティブに通信中のC&Cサーバー)
  • Recorded Futureネットワークトラフィック分析による感染マシンまたは仮想アクター/敵対者の制御とのC2通信の観察
  • https://api.recordedfuture.com/gw/misp/feed/ip_recentActiveCnc

• IP: recentValidatedCnc (検証済みC&Cサーバー)
  • 最近検出または報告されたC2で、Insikt Groupが独自の方法論を使用して実行中のC2としてさらに検証されました。
  • https://api.recordedfuture.com/gw/misp/feed/ip_recentValidatedCnc

• ドメイン: cncSite (C&C DNS名)
  • 悪意のあるコマンド＆コントロールに関連付けられたDNS名
  • https://api.recordedfuture.com/gw/misp/feed/domain_recentCncSite

• ドメイン: recentWeaponizedDomain (最近アクティブな兵器化ドメイン)
  • 悪意のあるコマンド＆コントロールに関連付けられたDNS名
  • https://api.recordedfuture.com/gw/misp/feed/domain_recentWeaponizedDomain

• ハッシュ: recentActiveMalware (最近アクティブで脆弱性を狙ったマルウェア)
  • Recorded Futureが実際に観測した脆弱性を悪用するマルウェア
  • https://api.recordedfuture.com/gw/misp/feed/hash_recentActiveMalware

• ハッシュ: observedMalwareTesting (地下ウイルステストサイトで観測)
  • ダークウェブ上で観測された、非配布スキャナーから収集された、検出不可能なマルウェアの可能性
  • https://api.recordedfuture.com/gw/misp/feed/hash_observedMalwareTesting
• ハッシュ: malwareSsl (マルウェア SSL 証明書のフィンガープリント)
  • マルウェアにリンクされたSSL証明書のフィンガープリントハッシュ
  • https://api.recordedfuture.com/gw/misp/feed/hash_malwareSsl

マルウェア

マルウェアを特定するには、優れたウイルス対策ソリューション以上のものが必要です。マルウェアは意図的に検知を回避しようとしているため、マルウェアを識別するために多くの緩和する制御を用意することが賢明です。 以下のリスク リストはすべて、環境に潜むマルウェアを見つけるための若干異なるアプローチを提供します。以下のリスク リストを参照することで、マルウェアを提供しているサイトによる感染から、マルウェアが悪用することが知られている脆弱性までをカバーする総合的なアプローチを取ることができます。

• ドメイン: malwareSiteDetected (最近検出されたマルウェア操作)
  • ドメインは、マルウェアを配布したか、マルウェアに接続されていた可能性が高いです。
    
  • https://api.recordedfuture.com/gw/misp/feed/domain_recentMalwareSiteDetected
• ドメイン: recentFraudulentContent (最近報告された不正コンテンツ)

  • このドメインは、被害者に、正当に見えるアイテムと引き換えに金銭やビットコインを送金するよう説得する行為が報告されています。

  • https://api.recordedfuture.com/gw/misp/feed/domain_recentFraudulentContent
• ハッシュ: recentFraudulentContent (最近報告された不正コンテンツ)

  • このドメインは、被害者に、正当に見えるアイテムと引き換えに金銭やビットコインを送金するよう説得する行為が報告されています。

  • https://api.recordedfuture.com/gw/misp/feed/domain_recentFraudulentContent

• URL: recentMalwareSiteDetected (最近検出されたマルウェアの配布)
  • サイトがマルウェアを配布している
  • https://api.recordedfuture.com/gw/misp/feed/url_recentMalwareSiteDetected

• URL: recentDhsAis (DHS AIS による最近の報告)
  • DHS自動指標共有による報告
  • https://api.recordedfuture.com/gw/misp/feed/url_recentDhsAis
• Vulnerability : recentMalwareActivity (最近アクティブなマルウェアによって悪用されている)
  • Recorded Future Malware ハンティングまたはRecorded Future Vulnerability Analysis によって最近観察された脆弱性を悪用することが知られているマルウェア
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_recentMalwareActivity

• Vulnerability : nistCritical (NIST 重大度: 重大)
  • 国家Vulnerabilityデータベースで重大CVSSスコアを獲得
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_nistCritical

• Vulnerability : nistHigh (NIST 重大度: 高)
  • 国家Vulnerabilityデータベースで重大CVSSスコアを獲得
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_nistHigh

• Vulnerability ： malwareActivity （マルウェアによって実際に悪用されている）
  • Recorded Future Malware ハンティングによって実際に観察された脆弱性を悪用することが知られているマルウェア
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_malwareActivity

• Vulnerability : recentPocVerifiedRemote (リモート実行を使用して利用可能な最近の検証済み概念実証)
  • 検証済みの概念実証エクスプロイトコードはリモート実行プロトコルを使用して利用可能
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_recentPocVerifiedRemote

• Vulnerability ：過去のマルウェア活動 (過去にマルウェアによって悪用された事例あり)
  • 検証済みの概念実証エクスプロイトコードはリモート実行プロトコルを使用して利用可能
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_historicMalwareActivity

• Vulnerability : recentPocVerified (最近検証された概念実証が利用可能)
  • 検証済みの概念実証エクスプロイトコードが利用可能
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_recentPocVerified

APT / 脅威アクターの活動が疑われる

以下のリスク リストで提供される指標は、脅威アクターの活動に関連するものとして特定されています。高度な持続的Threatグループは、長期間にわたって同じインフラストラクチャを使用する可能性があります。 APT グループは通常、コアインフラストラクチャを変更する代わりにTTPs変更して検知を回避します。これは通常、グループにとってより安価な代替手段であるためです。 これらのリストは、このようなグループのターゲットになっている人々にとって非常に価値があります。

• IP: recentAnalystNote (Insikt Group による最近の報告)
  • Insikt Groupの主要指標 注
  • https://api.recordedfuture.com/gw/misp/feed/ip_recentAnalystNote
• ドメイン: recentAnalystNote (Insikt Group による最近のレポート)
  • Insikt Groupの主要指標 注
  • https://api.recordedfuture.com/gw/misp/feed/domain_recentAnalystNote

• URL: recentAnalystNote (Insikt Group による最近のレポート)
  • 最近Insikt GroupでThreatとして報告されたレポート
  • https://api.recordedfuture.com/gw/misp/feed/url_recentAnalystNote

• ハッシュ: RecentAnalystNote (Insikt Group による最近のレポート)
  • 最近Insikt GroupでThreatとして報告されたレポート
  • https://api.recordedfuture.com/gw/misp/feed/hash_analyst 注記

• Vulnerability : recentAnalystNote ( Insikt Groupによる最近の報告)
  • 最近Insikt GroupでThreatとして報告されたレポート
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_recentAnalystNote

フィッシング行為

フィッシングは、その効果の高さから、組織への侵入に最もよく使われる攻撃ベクトルです。人間は常にセキュリティチェーンにおける最も脆弱なリンクです。これらのリスクリストは、組織を標的とする可能性のあるフィッシング攻撃に関する最新情報を提供しています。

• IP: phishingHost (フィッシングホスト)
  • アクティブなフィッシング URL のホストとして報告されました
  • https://api.recordedfuture.com/gw/misp/feed/ip_phishingHost

• ドメイン: recentPhishingSiteDetected (最近検出されたフィッシングTTPs )
  • このルールは、ドメインがフィッシング活動に関与していたという高い信頼性を提供します。
  • https://api.recordedfuture.com/gw/misp/feed/domain_recentPhishingSiteDetected

• ドメイン: recentCovidLure (最近のCOVID-19関連ドメインルアー: 悪意のある)
  • COVID-19 に関連した命名特性を持つドメインで、技術的な分析により悪意があると判断されたものです。
  • https://api.recordedfuture.com/gw/misp/feed/domain_recentCovidLure

• ドメイン: recentPhishingLureMalicious (最近のフィッシングルアー: Malicious)
  • このルールは、フィッシング詐欺の疑いがあるアクティブなドメインに対して高い信頼性で判定を下します。
  • https://api.recordedfuture.com/gw/misp/feed/domain_recentPhishingLureMalicious
• URL: recentPhishingSiteDetected (最近検出されたフィッシングTTPs )
  • サイトには、ユーザーの認証情報を盗むためのロゴ、画像、テキスト、その他の属性が含まれています。
  • https://api.recordedfuture.com/gw/misp/feed/url_recentPhishingSiteDetected

• URL: phishingUrl (アクティブなフィッシング URL)
  • アクティブなフィッシングとして報告された URL
  • https://api.recordedfuture.com/gw/misp/feed/url_phishingUrl

高リスク指標

すべてのデフォルトのリスク リストには、「悪意のある」カテゴリに最小リスク スコアしきい値があります。Recorded Future によって識別された「悪意のある」 IOC を使用すると、さらに調査する必要がある優先度の高い IOC を簡単に識別できます。各エンティティのデフォルトリスクリストを作成する際に使用される正確な基準に関する最新情報については、こちらのサポート記事をご覧ください。リスクリストは、IPアドレス、ドメイン、URL、ファイルハッシュ、脆弱性について存在します。

• IP:デフォルト IP リスクリスト: リスクスコア 90+
  • リスクスコアが90以上の指標
  • https://api.recordedfuture.com/gw/misp/feed/ip_default

• ドメイン:デフォルトドメインリスクリスト: リスクスコア 90+
  • リスクスコアが90以上の指標
  • https://api.recordedfuture.com/gw/misp/feed/domain_default

• URL:デフォルト URL リスクリスト: リスクスコア 70 以上
  • リスクスコアが70以上の指標
  • https://api.recordedfuture.com/gw/misp/feed/url_default

• ハッシュ:デフォルト URL リスクリスト: リスクスコア 80 以上
  • リスクスコアが80以上の指標
  • https://api.recordedfuture.com/gw/misp/feed/hash_default

• Vulnerability :デフォルトの脆弱性リスクリスト: リスクスコア 90+
  • リスクスコアが90以上の脆弱性
  • https://api.recordedfuture.com/gw/misp/feed/vulnerability_default

対応関係

MISP は相関関係を「マルウェア、攻撃キャンペーン、または分析からの属性と指標間の関係を見つけること」と定義しています。ユーザーがこれらの関係を視覚化できるように相関グラフを提供しています。相関グラフは複数のイベントで同時に使用できるため、ユーザーは異なるデータ間の関係を見つけることができます。 たとえば、Recorded Future イベントが特定のマルウェア ファミリに関連しているとします。関連する追加の指標やインテリジェンスを見つけるには、相関グラフを使用して、MISP インスタンス内の他のどのようなインテリジェンスがそのマルウェア ファミリに関連しているのかを確認します。これにより、攻撃対象領域と、制御を回避するために使用される可能性のあるさまざまな手段について、より完全な画像を構築できるようになります。