人気のオープンソース脅威インテリジェンス／脅威ハンティングツール7選：脅威プロファイリングと脅威検知をサポート

セキュリティ企業ESETは公式ブログで、人気の高いオープンソースの脅威インテリジェンスツールと脅威ハンティングツールを7つ取り上げ、概要を紹介した。

[＠IT]

　スロバキアのセキュリティ企業ESETは2022年3月14日（現地時間）に公式ブログで、人気の高いオープンソースの脅威インテリジェンスツールと脅威ハンティングツールを紹介した。

　脅威インテリジェンスは、データを集約、分析し、特定のサイバー攻撃、悪意あるキャンペーン、攻撃者の能力について、それらがどのようなものかを認識できるプロファイルを作成することを指す。

　これに対し、脅威ハンティングは、イベントデータを分析し、攻撃者の侵入、データの盗難、その他の被害の発生可能性を示す、ネットワーク内の異常な、あるいは悪意ある挙動を検知するプロセスを指す。脅威インテリジェンスは、脅威ハンティングの優れた出発点になる。

　以下では、人気の高いオープンソースの脅威インテリジェンスツールと脅威ハンティングツールを7つ取り上げ、概要を紹介する。

脅威インテリジェンスと脅威ハンティングに使われる人気の高い7つのオープンソースツール（提供：ESET）

脅威インテリジェンスツール

Yeti

　「Yeti」（Your everyday threat intelligence）は、セキュリティアナリストがさまざまな脅威データのフィードを一元管理する必要性から生まれたプラットフォームだ。アナリストが侵害の指標（IoC：Indicators of Compromise）や、攻撃者が採用する戦術、技術、手順（TTP：Tactics, Techniques, and Procedures）に関する情報を、単一の統一リポジトリに整理できるよう支援する。アナリストはYetiにより、「この指標はどこで観察されたか」「この情報は特定の攻撃やマルウェアファミリーに関連するか」といったことを簡単に調べられる。またYetiは、ドメイン解決やIPアドレスのジオロケーション特定などにより、リポジトリに取り込まれた指標に、有用な情報を自動的に付加する。

Yetiで提供される観測情報のリスト（提供：ESET）

Yetiによる悪意あるキャンペーンの追跡（提供：ESET）

　Yetiの特筆すべき点は、データ（ブログ記事も含む）を取り込み、有用な情報を付加して、組織の脅威インテリジェンスエコシステムで使われている他のツールに、そのデータをエクスポートできることだ。これによってアナリストは、機械可読形式でデータをインポートおよびエクスポートする方法に悩まされることなく、脅威情報の集約に集中できる。Yetiで有用情報が付加されたデータは、インシデント管理、マルウェア分析、モニタリングといったシステムと共有できる。

　YetiはHTTP APIも提供しており、コマンドシェルや他の脅威インテリジェンスツールから、Yetiの全機能にアクセスできる。

MISP

　オープンソースの脅威インテリジェンスおよび共有プラットフォームである「MISP」（以前はMalware Information Sharing Platformと呼ばれていた）は、IoCや脆弱（ぜいじゃく）性情報を組織間で共有し、脅威インテリジェンスに関する共同作業を促進する無償ツールだ。信頼できるコミュニティーを形成してデータを共有し、相互に関連付け、特定の業種や分野を狙う脅威をより深く理解するために、世界中の組織が使用している。