リアルタイム脅威インテリジェンスでセキュリティ運用を強化
AIを活用した脅威インテリジェンスおよび攻撃対象領域インテリジェンスプラットフォームであるCriminal IP(criminalip.io)は、IBM QRadar SIEMおよびQRadar SOARとの統合を発表しました。この統合により、外部のIPベースの脅威インテリジェンスがIBM QRadarの検出、調査、および対応ワークフローに直接組み込まれ、セキュリティチームは悪意のある活動をより迅速に特定し、SOC(セキュリティオペレーションセンター)全体で対応アクションをより効果的に優先できるようになります。
IBM QRadarは、セキュリティ監視、自動化、インシデント対応のための中心的なプラットフォームとして、企業や公共部門の組織に広く採用されています。Criminal IPのインテリジェンスをQRadar SIEMに組み込み、SOARワークフローに拡張することで、組織はQRadar環境から離れることなく、インシデントライフサイクル全体に外部脅威コンテキストを適用できるようになります。
QRadar SIEMとの統合によるリアルタイム脅威可視化
Criminal IPとQRadar SIEMの統合により、セキュリティチームはファイアウォールのトラフィックログを分析し、通信中のIPアドレスに関連するリスクを自動的に評価できるようになります。IBM QRadar SIEMに転送されたトラフィックデータは、Criminal IP APIを介して分析され、SIEMインターフェース内に直接反映されます。観測されたIPアドレスは、脅威インテリジェンスの観点から自動的に高、中、低のリスクレベルに分類されます。
これにより、SOCチームは、使い慣れたQRadar SIEMワークフロー内で、高リスクのIPを迅速に特定し、インバウンドおよびアウトバウンドのトラフィックを監視し、アクセスブロックやエスカレーションなどの対応アクションを優先できるようになります。
QRadar内でのインタラクティブな調査
統合されたCriminal IPルックアップ機能により、アナリストはトラフィックログから不審なIPを直接調査できます。高レベルの可視性にとどまらず、この統合は高速かつコンテキストに沿った調査をサポートします。アナリストは、QRadarログアクティビティに表示されるIPアドレスを右クリックして、詳細なCriminal IPレポートを開くことができます。これらのレポートには、脅威インジケーター、履歴上の行動、外部露出シグナルなどの追加情報が含まれており、ツールを切り替えることなくリスクと意図を検証できます。この合理化されたワークフローは、時間のかかる調査における迅速な意思決定を支援します。
QRadar SOARワークフローへの脅威インテリジェンスの拡張
Criminal IPは、インシデント対応中の自動脅威エンリッチメントをサポートするために、IBM QRadar SOARとも統合されています。事前に構築されたプレイブックを使用することで、Criminal IPインテリジェンスをIPアドレスやURLアーティファクトに適用でき、エンリッチメント結果はアーティファクトヒットまたはインシデントノートとしてSOARケースに直接返されます。この統合には、以下の2つのプレイブックが含まれています。
- Criminal IP: IP Threat Service – IPアドレスアーティファクトをCriminal IPの脅威コンテキストでエンリッチします。
- Criminal IP: URL Threat Service – ライトまたはフルURLスキャンを実行し、結果をアーティファクトヒットまたはインシデントノートとして返します。
Criminal IPの脅威インテリジェンスをSOARワークフローに直接組み込むことで、アナリストは手動でのルックアップを減らし、インシデントに効率的に対応できるようになります。
インテリジェンス主導の検出と対応の推進
Criminal IPとIBM QRadar SIEMおよびSOARを統合することで、組織はQRadarの相関、調査、対応機能と、実際のインターネット露出から得られた豊富な外部脅威インテリジェンスを組み合わせることができます。このアプローチにより、検出精度が向上し、調査サイクルが短縮され、SOC運用全体での対応の優先順位付けが強化されます。
AI SPERAのカン・ビョンテクCEOは、この統合が現代のSOC環境におけるリアルタイムかつ露出ベースのインテリジェンスの重要性の高まりを強調し、Criminal IPが実用的なインテリジェンス主導の統合を通じて検出の信頼性と運用の効率を向上させることに焦点を当てていることを強調しました。
Criminal IPについて
Criminal IPは、AI SPERAが開発した主力サイバー脅威インテリジェンスプラットフォームであり、世界150カ国以上で使用されています。セキュリティチームに、新たな脅威をプロアクティブに特定、分析、対応するために必要な実用的な脅威インテリジェンスを提供します。AIとOSINT(オープンソースインテリジェンス)を搭載し、IP、ドメイン、URLにわたるC2サーバーやIOC(侵害指標)から、VPN、プロキシ、匿名VPNなどのマスキングサービスまで、幅広い悪意のあるインジケーターの脅威スコアリング、レピュテーションデータ、リアルタイム検出を提供します。そのAPIファーストアーキテクチャにより、セキュリティワークフローへのシームレスな統合が保証され、可視性、自動化、対応が強化されます。