はじめに
AIを活用した脅威インテリジェンスおよびアタックサーフェス監視プラットフォームであるCriminal IP(criminalip.io)が、サイバーセキュリティの世界的リーダーであるPalo Alto NetworksのCortex XSOARに正式に統合されました。この統合により、リアルタイムの外部脅威コンテキスト、露出インテリジェンス、および自動化された多段階スキャン機能がCortex XSOARのオーケストレーションエンジンに直接組み込まれ、セキュリティチームは従来型のログ中心のアプローチと比較して、より高いインシデント精度と迅速な対応を実現できるようになります。
統合の概要と主要なメリット
Cortex XSOARは、Palo Alto NetworksのSOC自動化における中心的なハブです。Cortex Marketplaceを通じてCriminal IPが追加されたことで、Cortex XSOARユーザーは、静的なレピュテーションデータだけでなく、行動シグナル、露出履歴、インフラストストラクチャの相関関係、AI駆動の脅威スコアリングを通じて不審なIPアドレスやドメインを評価できるようになります。これにより、追加のシステムやアナリストによる手動検索の必要がなくなります。
ログのみのインシデント対応の限界とAIコンテキスト
現代のSOCチームは、膨大な数のアラートに直面していますが、従来のエンリッチメントは、ポート露出、CVE関連付け、証明書の再利用、DNS変更、匿名化の挙動などの重要な情報が欠落している静的なレピュテーションフィードに依存していることが多く、限界がありました。Criminal IPは、グローバルなインターネットに面するアセットを継続的に分析し、IPの挙動、ドメイン活動、SSL/TLSデータ、ポートの状態、CVE露出、IDSヒット、およびマスキングインジケータを相関させることで、このギャップを埋めます。アラートにIPアドレスまたはドメインが含まれる場合、Cortex XSOARはプレイブックを通じてこの強化されたインテリジェンスをアクティブなインシデントに自動的に引き込み、アナリストはCortex XSOARを離れることなく意図と深刻度を評価できるようになります。
多段階スキャンと外部露出の連携
Cortex XSOARのプレイブックは、Criminal IPの自動化された3段階スキャンワークフローをトリガーできます。これは、クイックルックアップから始まり、ライトスキャンにエスカレートし、最終的に完全なアタックサーフェス分析のためのフルスキャンを実行します。フルスキャンの結果は、Cortex XSOAR内で構造化されたレポートとして提供され、一般的なポーリングにより、手動での介入なしにワークフローが継続されます。アラート駆動のエンリッチメントに加え、この統合は内部テレメトリーをオープンインターネットインテリジェンスと連携させ、各インジケーターの履歴的な挙動、C2関係、匿名化インジケーター、悪用記録、SSL相関を提供します。さらに、Cortex XSOARは、露出しているポート、証明書の有効性、脆弱なサービス、および古いソフトウェアを評価するためのマイクロアタックサーフェスマネジメントスキャンをスケジュールすることができ、組織が脆弱性を悪用される前に特定するのに役立つ軽量で継続的なASM機能を提供します。
インテリジェンス駆動型自律セキュリティへの移行加速
Palo Alto NetworksとCriminal IPの統合は、自律型セキュリティ運用への広範なトレンドを反映しています。Cortex XSOARの自動化およびオーケストレーション機能とCriminal IPのリアルタイム外部分析を組み合わせることで、SOCチームは、これまで複数のインテリジェンスソースにわたる手動調査を必要としていた決定を自動化できます。これにより、応答時間が短縮され、インシデント分類の精度が向上し、アナリストの疲労が最小限に抑えられます。これらは、アラート量とAI生成脅威の増加に伴い深刻化している問題です。
Criminal IPについて
Criminal IPは、AI SPERAによって開発された主要なサイバー脅威インテリジェンスプラットフォームです。このプラットフォームは150カ国以上で使用されており、Criminal IP ASMやCriminal IP FDSなどのエンタープライズセキュリティソリューションを通じて包括的な脅威可視性を提供します。Criminal IPは、Cisco、VirusTotal、Quad9との戦略的パートナーシップを通じてグローバルエコシステムを強化し続けています。同プラットフォームの脅威データは、Amazon Web Services(AWS)、Microsoft Azure、Snowflakeなどの主要な米国データウェアハウスマーケットプレイスでも利用可能です。