Anomali Match | インディケータの拡張とデータエンリッチメント
Anomali Match

すべてのインテリジェンスを使用した自動検知

すべてのインテリジェンスとすべてのテレメトリを使用して検知を自動化し、ネットワーク内のサイバー脅威を継続的に検知します。

脅威を迅速に検知

Anomali Match は利用できるすべてのインテリジェンスとテレメトリを使用して、全自動で総合的に脅威を検知します。平均検知時間が短縮され、セキュリティインシデントのコストが低下し、セキュリティ業務の効率が向上します。

Anomali Match 製品構成

環境内のすべての脅威を検知

利用できるすべてのデータを使用して脅威を検知

Match はすべてのアクティブな脅威インテリジェンスを使用して、すべてのイベントログと照合し、絶え間ない観察によってネットワーク上の悪意のあるアクティビティを識別します。

ネットワーク内に存在する新たに発見された脅威を検知

Match は、履歴ログデータを新たな脅威インテリジェンスに照らして絶えず分析し、過去に侵害があった証拠を発見します。

資産価値とリスクに基づく脅威への対応の優先度設定

Match は、アセット情報、脆弱性、脅威の重大度に基づいて脅威の観察結果にスコアを付け、リスクの優先度に従ってトリアージと対応を実行できます。

製品デモのリクエスト

利用できるすべてのテレメトリとインテリジェンスを使用して脅威検知を自動化

SIEM とログ管理ソリューションでは、IOC および保存や検索の対象になるイベントログの量に限度があるため、組織が直面する可能性がある脅威をすべて識別することは困難です。

Match は既知の脅威を大規模に検知することを目的とし、ビッグデータ分析と機械学習を使用して、大量のイベントログをすべてのアクティブな脅威インテリジェンスと継続的に照合します。

  • 数千万の IOC を数十億件のイベントと継続的に照合
  • イベントログにおける脅威インディケータ、TTP、アクター、脆弱性、脅威情報との一致を特定
  • SIEM、SOAR、チケットシステムにアラートを自動通知
セキュリティデータのオーバーロード問題

「影響を受けているか」どうかという難問を解決

新しい脅威が世の中で発見されたとき、侵害されたかどうかを過去のログをさかのぼって検索するプロセスには、時間とコストがかかりかねません。

Match により、脅威インディケータが過去数ヵ月または数年のイベントデータにあるかどうか、数秒間で判別されます。

  • 過去のイベントログを 5 年以上さかのぼって検索
  • 脅威インディケータ、TTP、アクター、脆弱性、脅威情報を検索
  • すべての脅威との一致結果を数秒で返答
  • これらの一致結果を SIEM、チケット、SOAR システムに提供
200 日問題

資産価値、脆弱性、脅威の重大度に基づいて対応に優先度を設定

ネットワーク内に悪意のある動作を発見した場合は、次の課題として、どの脅威が最も重要で最初に対処すべきかを判断しなければなりません。

Anomali Match は資産と脆弱性のスキャンデータを脅威検知結果に取り込み、アナリストがリスクに基づいて修復の優先度を決定できるようにします。

  • 悪意のある動作が見られた主な資産を一目で確認
  • リスクスコアおよび資産の重要性に基づいて対応の優先度を設定
  • 悪意のあるアクティビティを元の侵害時点までさかのぼって追跡、侵害のタイムラインを確認
Anomali Match で修復に優先度付け

C&C サーバーに接続するネットワーク内のボットを特定

多数のボットネットワークが、ドメイン生成アルゴリズム(DGA)を使用して「コマンドアンドコントロール」(C&C)サーバーとの通信を偽装して、IP アドレスブロックリストをバイパスしています。

Match は高度な機械学習モデルを使用して悪意のあるドメインを予測し、イベントログ内でこのようなドメインを特定します。

  • DGA ドメインが見つかったイベントを識別
  • DGA ドメインを生成したと考えられるマルウェアファミリーを特定
  • DGA ドメインを使用して通信している資産を特定
ボットネット

アクター、脅威情報、脆弱性によって脅威を探し出す

熟練した攻撃者は動的に IOC を変更して検知を避ける方法を習得していますが、戦術、手法、手順(TTP)を偏光することは困難です。

Match により、セキュリティチームは、TTP、アクター、キャンペーン、脅威情報、脆弱性に基づいて環境内の脅威を識別できます。脅威アクターがネットワーク内で特定されたら、MITRE ATT&CK フレームワークとヒートマップを使用して TTP を分析できます。

  • 脅威アクター、TTP、脅威情報、キャンペーン、脆弱性により、環境への侵入を検索
  • 存在時間、重大度、イベント発生元/攻撃先など、一致したイベント詳細を表示
  • MITRE ATT&CK フレームワークヒートマップで選択されたアクターの戦術、手法、手順(TTP)を分析
Anomali Match と MITRE ATT&CK

「ペイシェントゼロ」を見つける

マルウェアに感染した後、多くの組織がとる対応は「モグラ叩き」になりがちです。感染が判明し、除去に向けて対策を取りますが、再発を繰り返す状態になります。

Match はペイシェントゼロの発見プロセスを自動化するので、感染がどのように始まり、最もリスクがあるのは誰で、感染がいつからアクティブであったか、突き止められます。

  • 悪意のあるアクティビティを元の侵害時点までさかのぼって追跡
  • インディケータのイベントタイムラインを表示
  • すべてのホストとエンドポイントに対する攻撃範囲を決定
  • これらの一致結果を SIEM、チケット、SOAR システムに提供して修復
ペイシェントゼロを見つける

Anomali Match でペイシェントゼロを見つける

この動画では、サイバーセキュリティ侵害におけるペイシェントゼロを見つける必要性を確認し、この作業を行うアナリストにとって Anomali Match がどのように役立つかを説明します。

動画を見る

仮説ベースの脅威ハンティング

脅威ハンターは、すでにシステム内に侵入している攻撃者を見つけ出す必要がありますが、悪意のあるアクティビティを特定するために必要な検索ツールやアクセス方法が不足していることがよくあります。

Match の機能を利用して、脅威ハンターが初期脅威インディケータを起点として、他のアクター、キャンペーン、TTP、脅威情報、脆弱性との関係や関連を調べられます。

  • 既知の攻撃者から始めて、これと関連性のある未知の攻撃を見つけ出す
  • 推測を確定、または脆弱性に関連するファイルインディケータの数などの疑問に回答する
  • 任意のインディケータの関係および関連を視覚的に転換、拡張、調査する
  • WhoIs、VirusTotal、PassiveDNS、Symantec Intelligence サービスによってインディケータを強化する
Anomali Match による脅威ハンティング

Anomali の脅威に関する高い可視性と迅速な脅威検知をご紹介します

ライブ製品デモをリクエストして、Anomali ですべての関連するインテリジェンスの力を活用して、脅威の検知、調査、対応を迅速にする方法をご確認ください。

製品デモのリクエスト