リアルタイム、グラフィカルに情報を提供、API経由でデータ連携も「Mandiant Advantage:Threat Intelligence」
ファイア・アイ、Mandiantの脅威インテリジェンスをSaaS型で提供
2020年10月21日 07時00分更新
ファイア・アイは2020年10月20日、脅威インテリジェンスをSaaS型で提供する新サービス「Mandiant Advantage:Threat Intelligence」の国内提供開始を発表した。大規模インシデント対応などのサービスを展開する同社Mandiantチームが持つ脅威インテリジェンスを、ユーザーが直接活用できる形で提供する。従来の脅威インテリジェンスサービスのように、高度な知見を持つセキュリティ人材やSOCを抱える大規模な組織だけでなく、より中小規模の組織でも活用できるサービスとしている。
ファイア・アイ「Mandiant Advantage:Threat Intelligence」の画面イメージ。従来はレポート/文章の形で提供していた脅威インテリジェンスを、グラフィカルで直感的な形で提供する点も特徴
説明会に出席した、ファイア・アイ執行役 副社長の岩間優仁氏
Mandiant Advantage:Threat Intelligence(以下、Threat Intelligence)は、米国で10月6日に発表された新サービス。Mandiantがさまざまなソリューションを提供するSaaSプラットフォーム「Mandiant Advantageプラットフォーム」を使った第一弾サービスとなる。
Threat Intelligenceでは、Mandiantが手がけるインシデント対応/攻撃調査から得られる「侵害インテリジェンス」、グローバルに配備されたファイア・アイ製品から収集されるデータの自動分析による「マシンインテリジェンス」、ファイア・アイ自身が運用するSOCによる「運用インテリジェンス」、攻撃者グループの継続的な追跡から得られる「攻撃者インテリジェンス」という4種類の脅威インテリジェンスを提供する。
なお、同サービスは無償版もラインアップしており、こちらは同じプラットフォームを使ってオープンソースで公開されている脅威インテリジェンス(OSINT)を提供する。
Mandiantが大規模インシデント対応などから得た侵害インテリジェンス、グローバルのファイア・アイ製品から収集されるマシンインテリジェンスなど、4種類の脅威インテリジェンスを提供
ファイア・アイでは従来から、Mandiantの脅威インテリジェンスを顧客に提供するサービスを展開してきた。この従来サービスとThreat Intelligenceの違いについて、同社 執行役 副社長の岩間優仁氏は「Mandiantが持つ大量の情報を、SaaSプラットフォームを通じて、ファイア・アイのアナリストと同じタイミングでユーザーに提供する点」だと説明する。
「従来のサービスでは、大量の脅威インテリジェンスをアナリストが精査、検証したうえで、その結果をレポートとして顧客に提供していた。そのため、ファイア・アイのアナリストの目に触れていない情報は活用できていなかった。今回のサービスでは、大量の情報をアナリストと同じタイミングで見ていただき、顧客が独自に判断できるようにする」(岩間氏)
さらに、これまではレポートの文章を読んで理解する必要があったが、Threat Intelligenceではグラフィカルなダッシュボードが提供され、より直感的に現在の状況を理解できるようになると付け加えた。
従来の脅威インテリジェンス提供サービスとの違い。リアルタイムかつ視覚的にインテリジェンスを提供する
Threat Intelligenceで提供される脅威インテリジェンスのユースケースについて、岩間氏はSOCにおけるトリアージ、脆弱性対策の優先度付け、レッドチームやセキュリティ検証、攻撃者追跡、脅威ハンティングなどを例に挙げた。
「たとえばJPCERTの早期警戒情報を見て、どんな攻撃グループなのかをMandiantのデータベースで簡単に調べることができる。攻撃者が各攻撃段階で利用するテクニック(MITRE ATT&CK)、ツールやIOCの可視化も可能だ」(岩間氏)
また、ファイア・アイ以外の製品も含むセキュリティ製品のアラートについて、脅威インテリジェンスを参照してその意味づけと深掘り調査を行うこともできると紹介した。
脅威インテリジェンスのユースケース例
ファイア・アイ製品に限らず、さまざまな深掘り調査に利用できる
なお、現状ではブラウザプラグインによるThreat Intelligenceの検索/参照機能のみだが、今後APIも提供予定であり、このAPIを通じてSIEMなど多様なセキュリティ製品との柔軟なデータ連携が可能になるとしている。
同サービスはFree(無償版)、Security Operation、Fusionという3つのパッケージが用意されており、それぞれ提供する脅威インテリジェンスの内容(レベル)とサービスが異なる。このうちSecurity Operationは、企業のSOCやセキュリティ担当者が自ら対応を行うために活用できるパッケージとなっており、これまでのMandiantフルサービス(Fusion)よりも導入しやすい価格帯になるとしている(具体的な価格については要見積もり)。
「これまでは、セキュリティに精通した人を複数持っていて、情報に基づくアクションをすぐに取れるような大きな組織でなければ、脅威インテリジェンスをなかなか活用できなかった。(今回のThreat Intelligenceでは)それを、自社が備えるセンサー(セキュリティ製品)から上がってくる情報などにひも付けて判断する、よりコンパクトに活用するといった方向に持って行けると考えている。大企業に限らず中小企業でも脅威インテリジェンスを活用いただける余地は出てくるのではないか」(岩間氏)
Mandiant Advantage:Threat Intelligenceは3種類のパッケージをラインアップしている。OSINTベースの無償版もある
