脅威インテリジェンスフィード収集
概要
KYRA MDRは主要な脅威インテリジェンスフィードと統合し、侵害指標(IOC)— 悪意のあるIP、ドメイン、ファイルハッシュ、URL、メールアドレスを自動的に収集します。これらの指標は、環境のセキュリティイベントとリアルタイムで相関分析され、既知の脅威を検出します。
TI収集システムはスケジューラ駆動モデルで運用されます:各フィードは独立した同期間隔、API認証情報、ステータス追跡が設定されます。プラットフォームは5分ごとに同期が必要なフィードを確認し、新しい指標を自動的に取得します。
対応フィードタイプ
| フィードタイプ | 説明 | データソース |
|---|---|---|
| AlienVault OTX | Open Threat Exchange — コミュニティ主導のIOC共有 | サブスクライブパルス、IP/ドメイン/ハッシュレピュテーション |
| AbuseIPDB | IP悪用報告とブラックリスト | 信頼度スコア付きブラックリストIP |
| VirusTotal | マルウェア分析とURLスキャン | ファイルハッシュ、URL、ドメインレピュテーション |
| MISP | Malware Information Sharing Platform | STIX 2.1形式の脅威イベント |
| Custom STIX | STIX 2.1 JSONフィードURL | STIXバンドルからの指標 |
| Custom CSV | CSV形式の指標フィード | 重大度とタグ付きのパース済み指標 |
動作の仕組み
flowchart LR
FEEDS[外部フィード] -->|API呼び出し| SCHEDULER[フィードスケジューラ]
SCHEDULER -->|5分ごとに確認| SYNC[同期エンジン]
SYNC -->|パース & 検証| UPSERT[IOCデータベース]
UPSERT -->|相関分析| ALERTS[アラートエンジン]
ALERTS -->|エンリッチされたアラート| CONSOLE[管理コンソール]
収集フロー
-
設定 — アナリストが管理コンソール(脅威インテリジェンス → フィードタブ)でフィードタイプ、APIキー、同期間隔を設定します。
-
スケジューリング — フィードスケジューラが5分ごとに実行され、各有効フィードの
最終同期時刻 + 間隔を確認します。同期が必要なフィードのみ実行されます。 -
取り込み — 同期が必要な各フィードに対して:
- 設定された認証情報でフィードAPIを呼び出します
- レスポンスをパースします(JSON、STIX 2.1、またはCSV形式)
- 各指標を検証します(IPv4形式、ドメイン形式、ハッシュ長など)
- テナントスコープのIOCデータベースにアップサートします
-
エンリッチメント — 収集されたIOCは自動的に:
- アラートに脅威コンテキスト(重大度、信頼度、タグ)を付加
- 受信ログイベントとIOCベースの検出のための相関分析
- 管理コンソールでのオンデマンドルックアップ結果を提供
-
ライフサイクル — 各指標には有効期間(
validFrom/validUntil)があります。期限切れの指標は毎日午前3時に自動的にクリーンアップされます。
フィード管理
フィードの追加
脅威インテリジェンス → フィードタブに移動し、フィード追加をクリックします:
| フィールド | 説明 |
|---|---|
| フィード名 | フィードの表示名(例:「AlienVault OTX」) |
| フィードタイプ | 対応タイプから選択(OTX、AbuseIPDB、VirusTotal、MISP、Custom STIX、Custom CSV) |
| フィードURL | カスタムフィードに必要;組み込みタイプは自動設定 |
| APIキー | フィードプロバイダーの認証キー |
| 同期間隔 | データ取得頻度(15分、30分、1時間、6時間、12時間、24時間) |
| 有効化 | フィードの有効化/無効化トグル |
フィードステータス
各フィードはリアルタイムのステータスを表示します:
| ステータス | 意味 |
|---|---|
| アクティブ(緑) | フィードが有効で最終同期が成功 |
| 同期中(黄) | 同期が進行中 |
| エラー(赤) | 最終同期が失敗 — フィードカードでエラー詳細を確認 |
| 非アクティブ(灰) | フィードが無効 |
APIキーセキュリティ
- APIキーはAPIレスポンスやUIに一切公開されません
- コンソールにはマスクされたヒントのみ表示されます(例:
****abcd) - キーはサーバー側に保存され、フィード同期呼び出し時のみ送信されます
- 各フィードの認証情報はテナントスコープで隔離されます
指標タイプ
プラットフォームは以下の指標タイプを処理・保存します:
| タイプ | 例 | 検証 |
|---|---|---|
| IPv4 | 185.220.101.34 | 標準ドット区切り表記 |
| ドメイン | login-microsoftonline.tk | RFC準拠ドメイン名 |
| ハッシュ(MD5) | d41d8cd98f00b204e9800998ecf8427e | 32文字16進数 |
| ハッシュ(SHA-256) | a1b2c3d4e5f6...(64文字) | 64文字16進数 |
| URL | https://malware.example.com/payload | スキーム付き完全URL |
| メール | phishing@evil.example.com | メールアドレス形式 |
| CVE | CVE-2024-3400 | CVE-YYYY-NNNN+形式 |
同期間隔と推奨設定
| フィードタイプ | 推奨間隔 | 根拠 |
|---|---|---|
| OTX | 1時間 | サブスクライブパルスが頻繁に更新 |
| AbuseIPDB | 6時間 | ブラックリストは中程度の速度で更新 |
| VirusTotal | 6時間 | 無料ティアのレート制限 |
| MISP | 1時間 | イベントフィードが大量の場合あり |
| Custom STIX/CSV | ソースに依存 | ソースの更新頻度に合わせる |
注意: スケジューラが5分ごとに確認するため、実際の同期時間は間隔満了後最大5分遅延する場合があります。
IOC統計
脅威インテリジェンスページはリアルタイム統計を提供します:
- IOC総数 — アクティブ(期限切れでない)指標数
- 重大指標 — Critical重大度のIOC数
- アクティブフィード — 有効で正常なフィード数
- 平均信頼度 — 全指標の平均信頼度スコア
フィードごとの統計は各フィードカードに表示されます:
- IOC数 — このフィードから収集された全指標数
- 最終同期 — フィードが最後に同期された時刻
- 間隔 — 設定された同期頻度
キャッシュとパフォーマンス
- 設定可能なTTLのインメモリルックアップキャッシュ(デフォルト:60分)
- キャッシュは最大50,000エントリを保持し自動エビクション
- すべてのフィード同期後にキャッシュがクリアされ鮮度を確保
- 期限切れのキャッシュエントリは15分ごとにエビクション
権限
| アクション | 必要な権限 |
|---|---|
| フィードとIOCの閲覧 | threat_intel:read |
| フィードの追加/編集/削除 | threat_intel:write |
| 手動同期の実行 | threat_intel:write |
| 手動IOCの追加 | threat_intel:write |
すべてのデータはテナント隔離されています — 各テナントのフィードとIOCは完全に分離されています。
はじめに
- サイドバーで脅威インテリジェンスを選択します
- フィードタブをクリックします
- フィード(例:AlienVault OTX)を選択し、編集をクリックします
- APIキーを入力し、希望する同期間隔を設定します
- 有効化をトグルして保存します
- 今すぐ同期をクリックして最初の収集を実行します
- インジケータタブに切り替えて収集されたIOCを確認します