はじめに:AI駆動型脅威インテリジェンスの統合
AI SPERAが開発したAI駆動型脅威インテリジェンスおよびアタックサーフェス監視プラットフォーム「Criminal IP」(criminalip.io)が、Palo Alto NetworksのCortex XSOARに正式に統合されました。
この統合により、リアルタイムの外部脅威コンテキスト、エクスポージャーインテリジェンス、および自動化された多段階スキャン機能がCortex XSOARのオーケストレーションエンジンに直接組み込まれます。これにより、セキュリティチームは従来のログ中心のアプローチよりも高いインシデント精度と迅速な対応を実現できます。
サイバーセキュリティ分野の世界的リーダーとして広く認知されているPalo Alto Networksにとって、Cortex XSOARはSOC自動化の中心的なハブです。Criminal IPがCortex Marketplaceを通じて統合されたことで、Cortex XSOARユーザーは、静的なレピュテーションデータだけでなく、行動信号、エクスポージャー履歴、インフラストストラクチャの関連性、AI駆動型の脅威スコアリングを通じて、疑わしいIPアドレスやドメインを評価できるようになります。これにより、追加のシステムやアナリストによる手動調査が不要になります。
ログ中心のインシデント対応の限界を克服
現代のSOCチームは圧倒的な量のアラートに直面していますが、従来のエンリッチメントは限定的なコンテキストしか持たない静的なレピュテーションフィードに依存しており、ポートのエクスポージャー、CVEの関連付け、証明書の再利用、DNSの変更、匿名化の挙動などを見落とすことが多々ありました。
Criminal IPはこのギャップを埋めるべく、グローバルなインターネット公開資産を継続的に分析し、IPの挙動、ドメイン活動、SSL/TLSデータ、ポート状態、CVEのエクスポージャー、IDSのヒット、マスキングインジケーターを関連付けます。アラートにIPアドレスまたはドメインが含まれる場合、Cortex XSOARはプレイブックを介してこの豊富なインテリジェンスをアクティブなインシデントに自動的に取り込むことができ、アナリストはCortex XSOARを離れることなく、その意図と深刻度を評価できるようになります。
Criminal IPは、AIとOSINT(オープンソースインテリジェンス)を活用し、脅威スコアリング、レピュテーションデータ、C2サーバーやIOC(侵害指標)からVPN、プロキシ、匿名VPNのようなマスキングサービスに至るまで、幅広い悪性インジケーターをIPアドレス、ドメイン、URL全体でリアルタイムに検出します。そのAPIファーストのアーキテクチャは、セキュリティワークフローへのシームレスな統合を保証し、可視性、自動化、対応能力を向上させます。
多段階スキャンと外部エクスポージャーの連携
Cortex XSOARのプレイブックは、Criminal IPの自動三段階スキャンワークフローをトリガーできます。これは「クイックルックアップ」から始まり、「ライトスキャン」へとエスカレートし、最終的に完全なアタックサーフェス分析のための「フルスキャン」を実行します。フルスキャンの結果は、Cortex XSOAR内で構造化されたレポートとして提供され、汎用的なポーリング機能により、手動介入なしにワークフローが継続されます。
アラート駆動型のエンリッチメントに加え、この統合は内部テレメトリーをオープンインターネットインテリジェンスと連携させ、各インジケーターの履歴上の挙動、C2関係、匿名化インジケーター、悪用記録、SSL相関を提供します。Cortex XSOARはまた、マイクロアタックサーフェスマネジメント(ASM)スキャンをスケジュールし、公開ポート、証明書の有効性、脆弱なサービス、および古くなったソフトウェアを評価できます。これにより、組織は悪用される前に弱点を特定できる、軽量で継続的なASM機能が提供されます。
自律型セキュリティ運用の加速へ
Palo Alto NetworksとCriminal IPの統合は、自律型セキュリティ運用への広範なトレンドを反映しています。Cortex XSOARの自動化およびオーケストレーション機能と、Criminal IPのリアルタイム外部分析を組み合わせることで、SOCチームはこれまで複数のインテリジェンスソースでの手動調査が必要だった意思決定を自動化できるようになります。
これは、応答時間の短縮、インシデント分類の精度の向上、アナリストの疲労軽減につながります。これらの課題は、アラート量とAI生成型脅威が増加するにつれて、より深刻化しています。
Criminal IPはすでにAzure、AWS、Snowflakeのマーケットプレイスで提供されており、Cisco、Fortinet、Tenableを含む40以上のセキュリティベンダーとの統合を維持しています。Palo Alto Networksエコシステムへの拡大は、XDRおよびクラウドセキュリティソリューション全体でのさらなる統合の基盤を築きます。
AI SPERAのカン・ビョンテクCEOは、この統合が「企業セキュリティ運用におけるAI駆動型脅威インテリジェンスとエクスポージャー分析の重要性の高まりを示すもの」であると述べ、Criminal IPが組織の完全自律型防御アーキテクチャへの移行において中心的な役割を果たすことを目指していると付け加えました。