企業動向

IBM QRadarとCriminal IPが連携、AIベースの脅威インテリジェンスでSOCの対応力を強化

AIベースの脅威インテリジェンスプラットフォーム「Criminal IP」が、IBMのセキュリティ情報イベント管理(SIEM)ソリューション「QRadar SIEM」およびセキュリティオーケストレーション・自動化・対応(SOAR)ソリューション「QRadar SOAR」との連携を開始しました。これにより、外部脅威コンテキストがQRadarのワークフローに直接統合され、セキュリティオペレーションセンター(SOC)チームの脅威検知・調査・対応プロセスの効率化が期待されます。

IBM QRadarとCriminal IPが連携、脅威対応を強化

IBM QRadarは、エンタープライズおよび公共機関において、セキュリティ監視、分析、自動化、インシデント対応の中核基盤として広く利用されています。今回の連携は、Criminal IPの脅威インテリジェンスをQRadar SIEMに組み込み、さらにSOARワークフローへ拡張することで、分析担当者がQRadarの画面を離れることなく、インシデントのライフサイクル全体に外部脅威コンテキストを適用できるようにするものです。これは単なるデータ連携ではなく、QRadarの製品レベルでCriminal IPの脅威インテリジェンスを活用できる正式な統合として提供されます。

SIEMとSOARに脅威コンテキストを直接統合

Criminal IPとQRadar SIEMの統合により、セキュリティチームはファイアウォールのトラフィックログを分析し、通信先IPアドレスに潜むリスクを自動的に評価できるようになりました。QRadarに転送されたトラフィックデータはCriminal IP APIを通じて解析され、その結果はSIEMインターフェース上に直接反映されます。FortinetやPalo Alto Networksなどの主要なネットワークセキュリティ機器から送信されるファイアウォールログにも対応しており、既存のログ収集構成を変更することなく導入できるとしています。

Criminal IP SecOpsダッシュボード

分析結果はQRadar内のCriminal IPダッシュボードに直接反映され、観測されたIPアドレスは、脅威インテリジェンスの観点からHigh / Medium / Lowのリスクレベルに自動分類されます。これにより、SOCチームは高リスクIPの迅速な特定、インバウンドおよびアウトバウンド通信の監視、アクセス遮断やエスカレーションといった対応判断を、従来のQRadarワークフロー内で効率的に実行できます。

さらに、この連携は可視化にとどまらず、調査プロセスの効率化も支援します。アナリストはQRadarのログ画面上に表示されたIPアドレスを右クリックするだけで、詳細なCriminal IPのIPレポートを即座に参照可能です。これらのレポートには、脅威指標、過去の悪用履歴、外部露出状況などのコンテキスト情報が含まれており、ツールを切り替えることなく、リスクや攻撃意図を迅速に検証できるとされています。これにより、時間的制約の厳しいインシデント対応において、意思決定のスピードと精度を大きく向上させることが期待されます。

ネットワーク監視ツールのUI

Criminal IPはIBM QRadar SOARとも連携し、インシデント対応時の自動エンリッチメントを実現します。あらかじめ用意されたプレイブックを利用することで、IPアドレスやURLのアーティファクトに対してCriminal IPの脅威情報を自動付与し、その結果をSOARケース内のアーティファクトヒットやインシデントノートとして返却します。本連携では、「Criminal IP: IP Threat Service」と「Criminal IP: URL Threat Service」の2種類のプレイブックが提供されます。これにより、SOC担当者は日常的に発生する繰り返しの確認作業を削減し、より迅速かつ一貫性のあるインシデント対応プロセスを運用することが可能になるといいます。

検知精度向上と調査時間短縮へ

Criminal IPとIBM QRadar SIEM/SOARの統合により、QRadarが持つ相関分析・調査・対応機能と、実際のインターネット露出に基づく外部脅威インテリジェンスを組み合わせることが可能となります。その結果、検知精度の向上、調査時間の短縮、SOC全体における対応優先度の最適化が実現されるとしています。AI SPERAのCEOであるカン・ビョンタク氏は、「今回の連携は、現代のSOC環境において、リアルタイムかつ露出ベースのインテリジェンスがますます重要になっていることを示しています。Criminal IPは、実用的なインテリジェンス連携を通じて、検知の信頼性と運用効率を高めることに注力しています」とコメントしています。

Criminal IPとは

Criminal IPは、AI SPERAが開発したサイバー脅威インテリジェンス・プラットフォームです。現在、約150カ国以上で利用されています。AIとOSINT(オープンソースインテリジェンス)を活用し、IPアドレス、ドメイン、URLを対象に、C2サーバーやIOC(侵害指標)、VPN・プロキシなどのマスキングサービスに至るまで、幅広い悪性指標をリアルタイムで検知・スコアリングします。APIファーストのアーキテクチャにより、既存のセキュリティワークフローへの統合も容易で、可視性、分析、自動化、対応力の向上を包括的に支援するプラットフォームです。

より詳しい情報は、以下のリンクを参照してください。

ソース元

関連記事

著者紹介:press

press プレスリリースを元に、サイバーセキュリティ関連の企業動向を配信しています。情報の正確性についてはソース元をご確認ください。


カテゴリ:
タグ: