Entry № 1254
戦術的脅威インテリジェンス
戦術的脅威インテリジェンス とは何ですか?
戦術的脅威インテリジェンス攻撃者のツール・指標・シグネチャに関する短命で技術的なインテリジェンス。SOC アナリストやセキュリティ製品が攻撃の検知と遮断に利用する。
戦術的脅威インテリジェンスは CTI の最下層であり、最も技術的な層です。原子的なインジケータ(ハッシュ、IP アドレス、ドメイン、URL、YARA ルール、Sigma ルール)や攻撃者の手口に関する短い記述を提供し、SIEM・EDR・ファイアウォール・プロキシに即時適用できます。これらのアーティファクトは攻撃者にとって変更が容易なため、有効期間は短く、継続的な更新が必要です。SOC アナリスト・検知エンジニア・自動化プラットフォームが STIX/TAXII や商用フィードを通じて消費します。TTP レベルの知見と組み合わせることでトリアージとルールチューニングが加速します。
● 例
- 01
あるマルウェアファミリの C2 ドメインを列挙する IoC フィード。
- 02
メモリ上で特定のローダ亜種を検出する YARA ルール。
● よくある質問
戦術的脅威インテリジェンス とは何ですか?
攻撃者のツール・指標・シグネチャに関する短命で技術的なインテリジェンス。SOC アナリストやセキュリティ製品が攻撃の検知と遮断に利用する。 サイバーセキュリティの 防御と運用 カテゴリに属します。
戦術的脅威インテリジェンス とはどういう意味ですか?
攻撃者のツール・指標・シグネチャに関する短命で技術的なインテリジェンス。SOC アナリストやセキュリティ製品が攻撃の検知と遮断に利用する。
戦術的脅威インテリジェンス からどのように防御しますか?
戦術的脅威インテリジェンス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
戦術的脅威インテリジェンス の別名は何ですか?
一般的な別名: 技術的インテリジェンス。