インパクト&メトリクスダッシュボードの解釈方法
メトリクスの理解とプログラム活動をビジネス証拠に変えるためのガイド。
はじめに
セキュリティチームは、インテリジェンスがより良い成果をもたらすことを常に認識してきました。課題は、それをビジネスの言語で証明することでした。取締役会、CFO、CIOは、脅威の数ではなく、ビジネスコンテキストに結びついた測定可能なリスク削減を求めています。
インパクト&メトリクスダッシュボードは、すべてのRecorded Futureのお客様に、プログラムが生み出している価値をリアルタイムで継続的に更新されたビューで提供します。お客様の環境、アラート、統合、脅威検出、アナリストの活動から情報を引き出し、経営層が関心を持つビジネスおよびセキュリティの成果に対応するメトリクスを表示します。
現在、ダッシュボードはプラットフォーム全体の主要なメトリクスを表示し、会話を開始し、チームが具体的に指し示せるものを提供します。時間の経過とともに、計算はより個別化され、ベンチマークは組織に特化し、ビジネスコンテキストとの統合はより深くなります。
このガイドを使ってメトリクス、達成している価値、そしてプログラム活動を組織に響くビジネス証拠に変える方法を理解してください。
優先インテリジェンス要件の設定
ダッシュボードは、その背後にあるインテリジェンスプログラムが有効であってこそ役立ちます。メトリクスを確認する前に最も重要なステップは、優先インテリジェンス要件(PIR)を定義することです。これにより、チームが監視、アラート、報告すべき内容が決まります。例としては以下があります:
- どの脅威アクターが私たちの業界の組織を積極的に狙っているか?
- 私たちの技術スタックに影響する脆弱性が悪用されているか?
- 私たちの認証情報の露出範囲はどのくらいか?
- 私たちのブランドを狙った詐欺やなりすましキャンペーンが活動中か?
ダッシュボードは、PIRに基づいて組織に合わせたアラートと収集を調整し、それに基づくメトリクスを表示します。報告は、インテリジェンスプログラムがビジネスが実際に知りたい質問にどれだけ答えているかを反映します。
PIRの設定方法
ポータルでのPIR設定の詳細については、優先インテリジェンス要件の確立をご覧ください。
- Recorded Futureプラットフォームで、設定に移動し、インテリジェンス要件を選択します。
- 組織の業界、技術スタック、既知の露出に基づいて最重要PIRを定義します。
- アラート、監視ルール、収集をこれらの要件に合わせます。
- PIRは少なくとも四半期ごと、または脅威環境が変化した際に見直し、更新してください。
主要メトリクス
以下のセクションでは、各メトリクスの説明、読み方、良好な状態の例、取るべきアクションを解説します。
プラットフォーム全体のセキュリティ価値
これは環境全体のリスク削減とインテリジェンスカバレッジの集計ビューです。経営層との会話やビジネスレビュー用に設計されています。
| 重要な理由 | このパネルは、検出、優先されたセキュリティアクション、節約された作業時間、推定されるビジネス価値を通じたRecorded Futureプログラムの影響を要約しています。インテリジェンス投資の価値に関する経営層との会話の出発点です。 |
| 読み方 | 選択した期間にわたって、Recorded Futureが強化した検出数、チームが推進した優先セキュリティアクション、節約された作業週数、推定ビジネス影響の金額を表示します。 |
| 良好な状態 | 時間とともに増加する総合価値で、検出数とセキュリティアクションが増加傾向にあること。PIRと組み合わせることで一貫したストーリーが語れます。 |
| 取るべきアクション | これらのメトリクスをレポートの冒頭スライドとして使用してください。ダッシュボードの他のセクションの具体例と組み合わせて数値に文脈を与えます。 |
脅威の優先順位付け
このセクションは脅威アクターとマルウェアファミリー、そしてRecorded Future AIの要約をカバーしています。これらは組織に関連する脅威とその理由を示します。
脅威アクターとマルウェアファミリー
| 重要な理由 | セキュリティに必要なのは関連性であり、インテリジェンス不足ではありません。このビジュアルは世界中の脅威を組織を狙うものに絞り込み、意図と機会に基づいてランク付けし、認識を運用ガイダンスに変えます。 |
| 読み方 | 左から右に読みます。左側に世界の脅威全体が入り、中央で組織のコンテキストにより大半が除外されます。残ったものが攻撃者の意図と機会に基づきランク付けされ、高、中、基本の優先度が割り当てられます。 |
| 良好な状態 | 安定した高優先度層は実際の直近リスクを示します。誰がどのように狙っているか、緩和策を把握できるべきです。脅威が緩和されればプログラムの成功を証明し、新たなエントリーはインテリジェンスが生きていることを示します。 |
| 取るべきアクション | 高および中優先度の脅威ごとに、インテリジェンスカードと証拠詳細を使ってなぜ優先されたかを正確に理解します。関連する検出ルールやIOCをダウンロードし、チームが手動で翻訳するのではなく展開・検証できるようにします。環境変化に合わせて自律型脅威対応を活用してください。 |
Recorded Future AIインサイト
| 重要な理由 | 組織に関連する上位3つの優先脅威アクターとマルウェアファミリーのAI生成要約で、それぞれの関連理由を説明します。これは脅威およびマルウェアマップの高優先度エントリーに直接対応しています。 |
| 読み方 | 左側のメトリクスを補完します。データの背後にあるナラティブコンテキストを提供し、経営層との会話で優先順位付けを防御可能にします。 |
| 良好な状態 | 業界、技術スタック、最近の同業他社の標的化など、特定の組織コンテキストを参照した要約。 |
| 取るべきアクション | AI要約を経営層やセキュリティプログラムオーナーへの説明の出発点として使用します。要約は内部更新やビジネスレビュー資料に直接コピー可能です。 |
脅威検出
このセクションは内部テレメトリ、接続統合、脅威ハンティング、サンドボックスにわたる検出マルウェアをカバーしています。インテリジェンスがセキュリティスタックをどのように流れ、どこで運用価値を生み出しているかを示します。
内部テレメトリにおける検出マルウェア
| 重要な理由 | 自社のテレメトリで見つかったマルウェア脅威の企業固有の概要です。最近環境内で検出されたマルウェアは何かを答えます。 |
| 読み方 | 過去90日間のマルウェアファミリーごとの検出数を示す時系列チャート。ラインはファミリーごとに色分けされています。急増はキャンペーンやインシデントの兆候かもしれません。ソースでフィルタリングして詳細を追加できます。 |
| 良好な状態 | 時間とともに検出数が減少し、検出されたものが説明され対応されている状態。たとえば、レッドチーム演習中のCobalt Strike検出は想定内ですが、説明のつかない急増は望ましくありません。 |
| 取るべきアクション | 有効な検出については、それらのマルウェアファミリーに対する防止策が優先されていることを確認します。検出されたマルウェアに関連するハンティングパッケージを使い、関連脅威を探索し防止策を追加します。インテリジェンスカードのハンティングパッケージに直接アクセスし、統合がハンティングパッケージ有効で設定されているか確認してください。 |
接続統合
| 重要な理由 | Collective Insights®、サンドボックス、その他接続からRecorded Futureに報告されるイベントのボリュームを示します。予期せぬボリューム低下があれば統合問題を特定できます。 |
| 読み方 | イベント数の列は各統合から報告された有効な検出数を示します。組織ごとに基準値が異なるため、絶対数より傾向線が重要です。 |
| 良好な状態 | 各組織は純粋なイベント生成の観点で異なる基準値を持ちます。良好とは環境にとって何が正常かを理解し、それに基づいて判断することです。傾向線は時間をかけて基準値を確立するのに役立ちます。 |
| 取るべきアクション | Collective Insights®エクスプローラーを開き、最近の検出をレビューしてボリュームの増減に説明があるか確認します。予想より低い場合は統合自体に切り替えて問題をトラブルシュートしてください。 |
脅威ハンティング
| 重要な理由 | ダウンロードされたハンティングパッケージ、Auto YARAルール、Auto Sigmaルール、統合からの有効化を示します。事前構築されたInsiktパッケージは手動ステップを省き、ハントの焦点と成功率を向上させます。 |
| 読み方 | 各行はダウンロード数と節約された時間を示します。節約時間はルールを手動で作成する場合と比べた効率の向上を反映します。 |
| 良好な状態 | ハント数が増えることは一般的により積極的なセキュリティ姿勢を示します。事前構築のハンティングパッケージを取り入れ、より多くのハントを実施し、優先度の高いハント開始に必要な時間を最小化します。 |
| 取るべきアクション | 現在の優先脅威に対してプラットフォーム内でInsikt Groupハンティングパッケージを直接活用します。Malware Intelligence内でAuto YARAを使用し、RFUコースを修了してチームの習熟度を高めます。Malware Intelligence内でAuto Sigmaを使い自動ルール生成を行います。 |
サンドボックス
| 重要な理由 | サンドボックスは、疑わしいファイルやURLが実際に悪意があるかどうか、そして何をするかを判定し、シグネチャベースのツール以上の情報を提供します。 |
| 読み方 | 左から右に読みます。合計提出数がウェブサイトとファイルに分かれ、悪意あり、疑わしい、非悪意ありに分類されます。帯の幅はボリュームを反映します。悪意ありと疑わしいカテゴリは最も注意が必要です。 |
| 良好な状態 | 悪意あり判定が時間を通じて低く安定し、疑わしい判定は積極的に解決され、運用ワークフローに組み込まれて一時的な使用ではない状態。 |
| 取るべきアクション | 悪意ありまたは疑わしい判定ごとに、インテリジェンスカード®を使ってマルウェアの行動、関連脅威アクター、既知のTTPを含む完全なコンテキストを表示します。サンドボックスレポートからIOCを即座に運用化し、検出・防御ツールに投入して関連インフラをブロックし、環境全体で追加インスタンスを探索します。 |
デジタルリスク保護
このセクションは組織の外部露出:詐欺、ブランドなりすまし、認証情報の脅威をカバーします。ブランドや顧客リスクが大きい組織にとって、ここでインテリジェンスのROIが即座に具体的かつCFOに説明可能になります。
| 重要な理由 | このファネルはブランドに影響を与える可能性のある検出数だけでなく、Recorded Futureが高い関連性と実行可能性を確保するために行う分析と優先順位付けを示します。 |
| 読み方 | 左から右に、悪意あるサイト、コードリポジトリ、ダークウェブソース全体の検出数を示します。青い線はアラート設定に基づき実行可能と評価されたものを示し、高度、中程度、情報レベルの重大度に分類されます。大半は「アラートなし」に流れており、ノイズは既にフィルタリングされています。 |
| 良好な状態 | 検出数と「アラートなし」の大部分があり、アラートは少数です。これはRecorded Futureがブランド脅威を適切に仕分けし、チームが焦点を絞った高関連性のアラートセットを処理していることを示します。逆にアラート数が「アラートなし」を上回る場合は設定ミスや過剰なアラートの可能性があります。 |
| 取るべきアクション | まず高優先度のアラートを掘り下げます。ユースケースごとに分けて最も頻度の高い脅威タイプを特定します。ブランド資産、主要幹部、顧客向け資産のカバレッジを確保するために設定を見直します。CSVエクスポートを使って法務やコンプライアンスチーム向けの是正ログを作成します。 |
アカウントおよび認証情報の監視
認証情報の漏洩は侵害の主な原因の一つです。プログラムが検出し、インシデント化前に是正したアイデンティティ脅威を確認してください。
| 重要な理由 | 漏洩した認証情報を影響を受ける特定のプラットフォームにリンクします。これらの通知はログデータと影響を受けたプロファイルの詳細への直接的な道筋を提供します。数時間で是正が可能で、悪意のあるアクターが漏洩データを悪用する前に脅威を無効化できます。 |
| 読み方 | 総漏洩認証情報数、特定された認証用URL、24時間以内に特定された認証情報を示し、露出した技術別に分類します。露出認証情報の多さはサイバー衛生の改善余地を示します。認証用URLはデジタルアイデンティティの範囲を示します。 |
| 良好な状態 | 24時間以内に高割合で認証情報が特定され、チームが最も早いタイミングで対応可能な状態。是正ワークフローが定着し、認証情報露出が時間とともに減少していること。 |
| 取るべきアクション | タイムリーなアラートが脅威の軽減に十分な場合が多いです。IAMやSOAR統合を通じて是正を効率化し、自動セッション無効化、必須パスワードリセット、リスクベース認証チャレンジを実現してください。 |
Recorded Future AIおよびInsikt Group®リサーチ
このセクションは、AI搭載の自動化と専門家リサーチを活用してアナリストの能力を拡張し、インテリジェンスプログラムの効率性を証明する方法を示します。
Recorded Future AIレポート
| 重要な理由 | レポート作成はどのインテリジェンスチームにとっても最も時間のかかる作業の一つです。Recorded Future AIは、手動作成よりも大幅に短時間で高精度かつカスタマイズされたレポートを関係者向けに生成できます。 |
| 読み方 | 配信されたレポートは生成され、スケジュールに従って自動的に購読者に送信されます。ダウンロードされたレポートはプラットフォームからPDFとしてエクスポートされます。棒グラフは配信方法別のレポート数を時間軸で示し、AI支援レポート作成がチームのワークフローにどれだけ定着しているかを示します。 |
| 良好な状態 | 配信レポート数が時間とともに増加し、採用と自動化が進んでいること。配信とダウンロードのバランスが取れていることも良好で、インテリジェンスが積極的に関係者に提供され、オンデマンドでも利用可能であることを示します。少数でもよく範囲が定められ、対象が適切なレポートは価値があります。 |
| 取るべきアクション | Recorded Future AIに直接問い合わせて利用可能なレポートタイプを探ります。役割や技術的熟練度に基づいて特定の関係者向けにレポートをカスタマイズします。CISO向けの説明はアナリスト向けとは異なります。スケジュール配信を活用し、毎回手動で準備することなくインテリジェンスを関係者に届けます。 |
Insikt Group®リサーチ
| 重要な理由 | Insikt Groupリサーチはプラットフォーム内のキュレーションされた専門家作成のインテリジェンスです。人員を増やさずにチームの専門家数を効果的に拡大します。 |
| 読み方 | 選択期間のInsikt Groupノートの総読了数を示し、フラッシュレポート、完成インテリジェンス、作成された検出ルールなどのタイプ別に分類します。 |
| 良好な状態 | 前期間よりノート読了数が増加し、特にフラッシュレポートや即時対応可能な検出ルールなど複数タイプにわたり関与があること。 |
| 取るべきアクション | 現在のPIRに最も関連するノートタイプを特定します。Insikt作成の検出ルールを直接展開します。脅威活動が高まっている期間にはフラッシュレポートのレビューを定期ワークフローに組み込みます。 |
ダッシュボードを最大限に活用する
プログラムの成熟とRecorded Futureが計算により多くの製品内データを追加するにつれて、ダッシュボードは時間とともに改善されるよう設計されています。ここでは現時点で最大の価値を得る方法を紹介します。
推奨頻度
| 毎月 | ダッシュボードをレビューし、変化を追跡し、新たなインパクト数値をチームと共有します。 |
| 四半期ごと | ダッシュボードをビジネスレビュー資料の基盤として使用します。担当のTAMが関連メトリクスを抽出し、PIRに照らして文脈化を支援します。 |
| 更新時 | メトリクスを使ってプログラムの価値を示し、継続または拡大投資の根拠を構築します。 |
経営層との会話でのダッシュボードの使い方
プラットフォーム全体のセキュリティ価値メトリクスから始めます。これは経営層との会話の出発点です。次に他のセクションを使って数値の背景にあるストーリーを伝えます:どの脅威が優先されたか、インテリジェンスがスタックをどのように流れたか、インシデント化前に何が是正されたか。
フィードバックの共有方法
ダッシュボード内のフィードバックを共有ボタンを使い、成果に対する考え方、メトリクスの計算方法、ダッシュボードを関係者会話でより有用にするために望むことをプロダクトチームに伝えてください。あなたのフィードバックがダッシュボードの進化を直接形作ります。
リソース
- インパクト&メトリクスダッシュボード:Recorded Futureのインスタンスでダッシュボード > インパクト&メトリクスに移動してください。
- インテリジェンス要件の設定: インテリジェンス要件