Elastic Securityは、Google脅威インテリジェンスをネイティブに取り込みます。既知の悪意のあるIPアドレス、ドメイン、URL、ファイルハッシュは、出現した瞬間にテレメトリと照合され、それぞれに判定結果と0~100の脅威スコアが付与されます。セットアップはAPIキーと2つのデータストリームで構成され、追加のインフラストラクチャは不要です。指標が曖昧な場合、Agent Builder 上に構築されたワークフローは、VirusTotal にリアルタイムでクエリを実行し、アラートを充実させ、テレメトリと関連付け、リアルタイムで結果を要約します。
Elastic Securityにおける脅威インテリジェンスの仕組み
現代のセキュリティ運用においては、脅威インテリジェンスは参照表にとどまるのではなく、検出、調査、対応の各段階にわたって機能する必要がある。
Elastic Securityは、これを2つの方法でサポートしています。統合を通じて取り込まれたインテリジェンスは、継続的な検出と過去の履歴の追跡を促進します。Elastic WorkflowsとAgent Builderを基盤とするエージェントワークフローは、進行中の捜査中にオンデマンドで情報拡充と捜査上の推論を提供します。この記事では、ElasticのGoogle Threat Intelligence(GTI)統合が、データ取り込みベースの検出と脅威ハンティングをどのように強化しているか、そして、AI駆動型ワークフローがアラート発生時にそのインテリジェンスを活用する、より広範で動的なSOCモデルにどのように適合するかについて解説します。
Googleの脅威インテリジェンスが提供するもの
Google Threat Intelligenceとの統合により、厳選された脅威インテリジェンスがElastic Securityに直接取り込まれ、検出と調査の両方で活用できるようになります。GTIは、Googleのグローバルセキュリティ可視化からの情報とVirusTotalのデータを組み合わせることで、マルウェア、ランサムウェア、フィッシング、情報窃盗、悪意のあるインフラストラクチャ、脅威アクター、その他の敵対的活動など、侵害の兆候に関するより詳細なコンテキストを提供します。
各指標には、判定(悪意あり、疑わしい、または未検出)、深刻度、および0~100の複合脅威スコアが返されます。そのスコアは複数のシグナルから算出されるため、セキュリティチームは指標の存在そのものだけでなく、信頼度に基づいて指標の優先順位を付けることができる。
Elastic SecurityにおけるGoogle脅威インテリジェンスの統合の仕組み
セットアップはほんの数分で完了します。Elastic連携時にGTI APIキーを指定すると、スケジュールされたポーリング間隔でデータの取り込みが開始され、追加のインフラストラクチャやコレクターは必要ありません。この統合システムは、主に2つのデータストリームを取り込みます。
| 目的 | 脅威リスト | IOCストリーム |
|---|---|---|
| 目的 | 高信頼性検出 | 脅威ハンティングと早期発見 |
| 音量 | 厳選された、低音量 | より幅広く、よりボリュームのある |
| 最適な用途 | 精度が重要なアラート | 新たな探究活動 |
データが取り込まれると、判定、深刻度、スコア、マルウェアファミリー、脅威アクターの関連付け、キャンペーンメタデータ(利用可能な場合)などのGTIコンテキストとともに、Elastic Common Schema(ECS)を使用して指標が標準化されます。これにより、GTIを他のECS準拠のインテリジェンスソース(TAXIIフィードを含む)、カスタムインテリジェンス、およびElastic Securityに既に存在するより広範なセキュリティテレメトリと一貫して検索および相関付けすることが可能になります。Elasticは、有効期限切れや失効を含むインジケーターのライフサイクルも自動的に管理するため、古い情報との照合を減らすことができます。GTI指標は取り込まれると、ログ、エンドポイント、クラウドテレメトリと同じ検索可能なデータセットの一部となり、環境全体にわたる統一的な相関分析が可能になります。
Google Threat Intelligenceを使用して指標の一致を検出します。
Elasticのインジケーターマッチルールは、 GTIデータを使用して、既知の悪意のあるIPアドレス、ドメイン、URL、またはファイルハッシュがセキュリティテレメトリに出現したことを検知し、観測されたアクティビティと継続的に情報を関連付け、調査対象となる一致箇所を明らかにします。GTIはスコア、判定、深刻度などの構造化されたフィールドを提供するため、チームは検出の信頼性に基づいて調整できます。信頼性の高い指標は即座にエスカレーションをトリガーし、信頼性の低い指標はレビューやさらなる検証のためにルーティングできます。
Elastic SecurityにおけるGTIインジケーターを用いた脅威ハンティング
GTIメタデータを使用することで、アナリストは単一のIOCから関連するすべてのインフラストラクチャへと視点を移し、過去のテレメトリを検索できます。単に指標が出現したかどうかを確認するだけでなく、それがどのキャンペーンに属しているかを理解できるのです。
GTIは、脅威アクターとの関連性やマルウェアファミリーのコンテキストなどのメタデータで指標を充実させることで、アナリストが単一のIOC検索を超えた分析を行えるようにします。ハンターは、ES|QLを使用して、攻撃者やキャンペーンから関連するすべての指標(IPアドレス、ドメイン、ファイルハッシュなど)に焦点を移し、過去のテレメトリを横断的に検索できます。これにより、既知の悪意のあるインフラストラクチャが過去に環境と相互作用したことがあるかどうかを容易に判断できます。
GTIダッシュボードを使用して脅威インテリジェンス活動を監視する
この統合には、脅威インテリジェンスの活動状況やGTIが検出した事象を可視化する、あらかじめ構築されたダッシュボードが含まれています。これらのダッシュボードは、保存された検索条件と集計された指標を使用して、マルウェアファミリー、キャンペーン、脅威アクター、ツールキット、脆弱性など、観測された脅威を要約し、SOCチームが自社の環境で最も活発な脅威の種類と、インテリジェンスがどのように運用されているかを理解するのに役立ちます。
Google脅威インテリジェンスのフィードカテゴリとカバレッジ
GTIには 14 のカテゴリ分けされたフィードカテゴリが含まれているため、組織はニーズと購読レベルに合わせてカバレッジをカスタマイズできます。サポートされているカテゴリは以下のとおりです。
- クリプトマイナー
- 流行している脅威
- 初期アクセスおよび配信経路
- 情報窃盗犯
- IoTの脅威
- Linuxマルウェア
- 悪意のあるインフラストラクチャ
- 一般的なマルウェア
- モバイル脅威
- macOSの脅威
- フィッシング
- ランサムウェア
- 脅威アクター
- 脆弱性の悪用と兵器化
利用可能かどうかは、Google Threat Intelligenceのサブスクリプションプランによって異なります。また、Elasticの設定を変更することなく、追加のフィードを有効にすることができます。
Elastic Workflowsによるエージェントによる情報強化とリアルタイムトリアージ
インデックス化されたフィードにまだ含まれていない、曖昧な指標や新たな指標については、Elastic SecurityはAgent BuilderとElastic Workflowsを介したAI駆動型の調査をサポートします。これにより、調査中にリアルタイムでの情報拡充と推論が可能になり、インテリジェンスの取り込みが補完されます。
ワークフローを活用することで、アナリストはインデックスに既に含まれている情報だけに限定されることなく分析を行うことができる。アラートのトリアージ中、ワークフローはVirusTotalなどの外部インテリジェンスおよびレピュテーションサービスにリアルタイムでクエリを実行し、関連するIPアドレス、ドメイン、またはファイルハッシュに関する最新のコンテキストでアラートを充実させ、そのリアルタイムのインテリジェンスをElastic Telemetryと関連付け、調査結果をアナリストが対応できる構造化された調査コンテキストにまとめることができます。Agent Builderはこれをさらに拡張し、チームはアラートのトリアージ、情報拡充、ケース処理などのエージェントスキルといった、再利用可能なタスク固有の機能を構成することができます。これにより、アシスタントは自然言語インターフェースを通じて、従来の自動化と同様の一貫性をもって複数ステップの調査タスクを実行します。
これは補完的なモデルを提示するものである。取り込まれた情報(GTI、TAXII、およびカスタムフィード)は、お客様が既に保有しているインジケーターに対して、継続的な検出と過去のデータに基づく追跡機能を提供します。エージェント型ワークフローは、アラート発生時にオンデマンドで情報拡充と調査推論を提供し、ライブソースにアクセスしてその場でコンテキストを構築します。これらを組み合わせることで、チームは既知の脅威を大規模に検知し、調査に文脈を提供することができる。
Elastic Security で Google Threat Intelligence を使い始める
Elastic SecurityでGoogle Threat Intelligenceとの連携機能を使用するには、有効なGTIライセンスとAPIキーが必要です。
- インストール方法: Kibanaのインテグレーションカタログを開き、「Google Threat Intelligence」を検索→インテグレーションを追加→APIキーを入力します。
- データストリームの設定:脅威リスト(高信頼度検出)とIOCストリーム(脅威ハンティング範囲)を有効にする→API制限と運用ニーズに合わせてポーリング頻度を設定する
- 調整:事前構築済みのインジケーター一致ルールが自動的にアクティブ化されます。アラート量が多い場合は、信頼度しきい値によるフィルタリングから開始します。
すべての指標はElasticsearchに保存され、GTI脅威インテリジェンスデータビューを通じてアクセスできるため、検索、相関分析、およびカスタム検出ロジックが可能になります。詳細な設定方法およびトラブルシューティング手順については、公式ドキュメントをご覧ください。
すべてをまとめる
脅威インテリジェンスは、チームがそれに基づいて行動できる場合にのみ意味を持つ。Google Threat IntelligenceをElastic Securityに統合することで、SOCチームは、テレメトリ全体にわたって継続的に実行される取り込みベースの検出機能と、そのインテリジェンスに基づいたエージェント主導の調査推論をリアルタイムで利用できるようになります。この組み合わせにより、脅威インテリジェンスは継続的かつ状況に応じて機能し、アナリストは指標からより迅速に確実な意思決定へと移行できるようになる。