Anomali Enterprise | IOCの拡大およびデータリッチ化

Anomali Enterprise

Real-Time Forensics

データシートをダウンロード

脅威を発見するための課題

毎日、新しい脅威が発見され、既に何百万もある既知の脅威存在IOCのリストに追加されていきます。 これは、組織にとって2つの課題を提示します:

  1. 既存の侵害を識別するために、新しく見つかった脅威を評価せねばならない。
  2. 新しく始まった攻撃を識別するために、何百万ものIOCを毎日チェックせねばならない。

Anomali Enterprise はSIEMやほかのログを取り込み、重複したログを含まない、1年以上分の履歴を参照できるようにしています。 侵害の証拠を発見するため、履歴データは常に新規および既存の脅威インテリジェンスに照らして分析されます。 Real-Time Forensicsはこれらのデータセットの間に瞬時にマッチを発見し、アナリストがトリアージとレスポンスをするためにIOCを取り上げて分類するためのツールを提供します。

脅威を発見するための課題難題

新しい脅威を検知

新しい脅威が発見された時、組織は、すでに自分のネットワークが攻撃者のターゲットになっているかを知る必要があります。 これは、潜在的な侵害を特定するため、6か月以上前まで遡って履歴データを調べることができることを意味します。 Anomali Enterprise:

  • 新しく入ってくるすべての脅威データを評価
  • 過去12か月以上のネットワークイベントをすべて分析
  • 数秒ですべての脅威マッチを指摘
  • SIEM等のインテグレーションにアラートを配信

既存脅威の検知

セキュリティチームは常にネットワークトラフィックを監視して、既知の脅威の活動を探さなければなりません。 通常、各組織は何百万というIOCを収集・追跡するため、すべてのネットワーク活動をモニタし、マッチを探すのは困難です。 Anomali Enterprise:

  • IOCを数量制限なく収集・管理
  • 無制限のログに対して IOCを照合
  • ログ内のIOC活動を自動的に警告
  • IOCの一致をSIEM等のシステムにフィード

本質的な統合

Anomali Enterpriseは、脅威インテリジェンスのソース、ログソース、SIEMその他のシステムと統合されています。 気になるIOCが完全に特定された場合、Anomali Enterpriseは SIEMに監視の継続またはブロックを促す警告を自動的にフィードします。

  • ThreatStreamからの脅威インテリジェンスをインプット
  • Syslog、SIEM、AWS S3、Netflow/sFlowからのログデータを解析
  • ThreatStream内の高度な脅威調査が可能に
  • 脅威のマッチをSIEMやインシデントレスポンスシステムと統合

DGA

Domain Generation Algorithmsは、コマンド&コントロールドメインをセットアップするためにマルウェアの世界で幅広く利用されています。 こうしたドメインの寿命は短い場合が多いので、脅威インテリジェンスリストに登録されません。 Anomali Enterpriseは、洗練された機械学習アルゴリズムを用いて、即座にDGAドメインへのトラフィックを検知し、警告を発します。 さらに、検出したDGAドメインを特定のマルウェアファミリーと関連付けます。

Threat Intelligence: A New Approach

Learn more about Anomali’s approach to operationalizing threat intelligence