防御と運用
脅威インテリジェンス
別称: TI
定義
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
脅威インテリジェンスは、攻撃者・その動機・能力・インフラに関する情報を、体系的に収集・加工・分析・配信する取り組みです。マルウェア検体、IP、ドメイン、漏洩した認証情報、ダークウェブの動向、脆弱性レポートといった生データに、コンテキスト・信頼度・対象オーディエンスを付与することで、行動可能なインテリジェンスへと変換します。組織はフィード(STIX/TAXII、MISP)、TIP、ベンダーレポート、ISAC 共有を通じてインテリジェンスを取り込み、SIEM や EDR の検知エンリッチメント、パッチ優先度の判断、経営層のリスク判断に活用します。対象と時間軸により、戦略・作戦(運用)・戦術の 3 レベルに分類されます。
例
- ある ISAC が、新興ランサムウェアアフィリエイトに関連する IoC を、加盟組織が被害を受ける数時間前に共有する。
- TIP が SIEM イベントにアクター帰属、MITRE ATT&CK のテクニック、信頼度スコアを付与する。
関連用語
サイバー脅威インテリジェンス(CTI)
サイバー脅威に関する根拠ある文脈化された知見であり、防御側がより迅速かつ的確な意思決定を行えるようにする情報。
Tactical Threat Intelligence
Tactical Threat Intelligence — definition coming soon.
Strategic Threat Intelligence
Strategic Threat Intelligence — definition coming soon.
Operational Threat Intelligence
Operational Threat Intelligence — definition coming soon.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Tactics, Techniques and Procedures (TTPs)
Tactics, Techniques and Procedures (TTPs) — definition coming soon.