犯罪IPでIBM QRadarアラートをアクションに変える

AIを活用した脅威インテリジェンスおよび攻撃サーフェスインテリジェンスプラットフォームであるCriminal IP（criminalip.io）が、IBM QRadar SIEMおよびQRadar SOARと統合されました。

この統合により、外部のIPベースの脅威インテリジェンスがIBM QRadarの検知、調査、対応ワークフローに直接導入され、セキュリティ・チームが悪意のある活動をより迅速に特定し、SOC業務全体でより効果的に対応アクションの優先順位を決定できるようになります。

IBM QRadarは、セキュリティ監視、自動化、インシデント対応の中心的なプラットフォームとして、企業や公共機関に広く採用されています。

犯罪IPインテリジェンスをQRadar SIEMに組み込み、SOARワークフローに拡張することで、企業はQRadar環境を離れることなく、インシデントのライフサイクル全体にわたって外部脅威のコンテキストを適用することができます。

ファイアウォールトラフィックログからリアルタイムで脅威を可視化

Criminal IP QRadar SIEMの統合により、セキュリティチームはファイアウォール・トラフィック・ログを分析し、IPアドレスの通信に関連するリスクを自動的に評価することができます。

IBM QRadar SIEMに転送されたトラフィックデータは、Criminal IP APIを通じて分析され、SIEMインターフェイス内に直接反映されます。

観測されたIPアドレスは、脅威インテリジェンスの観点から自動的に高、中、低のリスクレベルに分類されます。

これにより、SOCチームはリスクの高いIPを迅速に特定し、インバウンドとアウトバウンドのトラフィックを監視し、使い慣れたQRadar SIEMのワークフロー内でアクセスブロックやエスカレーションなどの対応アクションに優先順位を付けることができます。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

QRadarを離れることなくインタラクティブな調査

高レベルの可視性だけでなく、統合は迅速なイン・コンテキスト調査をサポートします。アナリストは、QRadar Log Activity に表示された IP アドレスを右クリックして、詳細な犯罪 IP IP レポートを開くことができます。

これらのレポートは、脅威の指標、過去の行動、外部への暴露シグナルなどの追加コンテキストを提供し、アナリストがツールを切り替えることなくリスクと意図を検証することを可能にします。この合理化されたワークフローは、一刻を争う捜査中の迅速な意思決定をサポートします。

QRadar SOARワークフローへのインテリジェンスの拡張

Criminal IPはIBM QRadar SOARとも統合されており、インシデント対応中の自動脅威エンリッチメントをサポートします。事前に構築されたプレイブックを使用して、Criminal IPインテリジェンスをIPアドレスおよびURLアーティファクトに適用し、エンリッチメント結果をアーティファクトのヒットまたはインシデントノートとしてSOARケースに直接返すことができます。

この統合には2つのプレイブックが含まれます：

• Criminal IP: IP Threat Service– Criminal IPの脅威コンテキストでIPアドレスアーティファクトをエンリッチします。
• Criminal IP: URL脅威サービス– ライトまたはフルURLスキャンを実行し、アーティファクトヒットまたはインシデントノートとして結果を返します。

Criminal IP脅威インテリジェンスをSOARワークフローに直接組み込むことで、アナリストは手作業による検索を減らし、インシデントに効率的に対応できます。

インテリジェンス主導の検知と対応の推進

Criminal IPをIBM QRadar SIEMおよびSOARと統合することで、企業はQRadarの相関、調査、対応機能を、実際のインターネット露出から得られたコンテキスト豊富な外部脅威インテリジェンスと組み合わせることができます。

このアプローチにより、検知の精度が向上し、調査サイクルが短縮され、SOC業務全体の対応の優先順位付けが強化されます。

アラート量が増加し続ける中、Criminal IPは、運用を複雑にすることなく、外部脅威のコンテキストをSIEMとSOARのワークフローに直接取り込むことで、QRadarユーザーがより迅速で情報に基づいた意思決定を行えるよう支援します。

AI SPERAのCEOであるByungtak Kang氏は、この統合は最新のSOC環境におけるリアルタイムの暴露ベースのインテリジェンスの重要性の高まりを強調し、実用的でインテリジェンス主導の統合を通じて検知の信頼性と運用効率を向上させるCriminal IPの取り組みを強調するものであるとコメントしている。

クリミナルIPについて

Criminal IPは、AI SPERAが開発した主力サイバー脅威インテリジェンス・プラットフォームで、世界150カ国以上で利用されています。セキュリティチームが新たな脅威をプロアクティブに特定、分析、対応するために必要な実用的な脅威インテリジェンスを提供します。

AIとOSINTを搭載し、脅威のスコアリング、レピュテーションデータ、IP、ドメイン、URLにわたるC2サーバーやIOCからVPN、プロキシ、匿名VPNのようなマスキングサービスまで、幅広い悪意のある指標をリアルタイムで検出します。

そのAPIファースト・アーキテクチャは、セキュリティ・ワークフローへのシームレスな統合を保証し、可視性、自動化、およびレスポンスを向上させます。

Criminal IPがスポンサーとなり執筆しました。