[CB19] S-TIP: サイバー脅威インテリジェンスのシームレスな活用プラットフォーム by 山田 幸治, 里見 敏孝
•
0 likes•1,201 views
S-TIPは、CSIRT等で脅威を分析したりその結果を共有しているアナリストのためのオープンソースのプラットフォームである。 世の中には多くのCTI (Cyber Threat Intelligence) が存在していますが、ユーザの投稿やレポートに代表される「人間系CTI」と、STIX/TAXII等のフォーマットにより共有される「システム系CTI」との間に壁があり、相互に活用できない問題があった。 S-TIPは、人間系CTIとシステム系CTIを、STIXデータベースを介してシームレスに統合する。例として、ユーザの投稿内容からIndicatorや攻撃者情報等を自動抽出してSTIX化するとともに、自動的に他のCTIと関連付けを行う。これによりユーザはサイバー攻撃の全体像を把握しやすくなり、より予見的・主体的な対処を支援可能になった。 S-TIPはSTIX/TAXIIに対応しているほか、MISP, JIRA, Slackと連携して使用可能である。 S-TIPは以下で公開している。 https://github.com/s-tip/stip-common
Recommended
More Related Content
What's hot
What's hot (20)
Similar to [CB19] S-TIP: サイバー脅威インテリジェンスのシームレスな活用プラットフォーム by 山田 幸治, 里見 敏孝
Similar to [CB19] S-TIP: サイバー脅威インテリジェンスのシームレスな活用プラットフォーム by 山田 幸治, 里見 敏孝 (20)
More from CODE BLUE
More from CODE BLUE (20)
[CB19] S-TIP: サイバー脅威インテリジェンスのシームレスな活用プラットフォーム by 山田 幸治, 里見 敏孝
- 1. SeamlessThreat Intelligence Platform (S-TIP) サイバー脅威インテリジェンスの シームレスな活用プラットフォーム 山田幸治 / KojiYamada 里見敏孝 /Toshitaka Satomi 富士通システム統合研究所 / Fujitsu System Integration Laboratories 0 Code Blue 2019 Bluebox
- 2. アウトライン / Outline • サイバー脅威インテリジェンス / CyberThreat Intelligence (CTI) • CTI とは? /What is CTI? • 人間系 CTI / Human CTI • システム系 CTI / System CTI •SeamlessThreat Intelligence Platform (S-TIP) •Demo •S-TIP 基本情報、構成 / Basic information, Architecture 1
- 3. サイバー脅威インテリジェンス CyberThreat Intelligence (CTI) •CTI とは? /What is CTI ? •サイバー攻撃に関する 5W1H の知識 5W1Hs (Who/Why/Where/When/What/How) of cyber attacks •攻撃・敵を知ることで、より主体的な防御を可能に Enables more proactive defense by knowing your enemy •共有により、一組織の事案を他組織の防御につなぐ Links other organization's defense by sharing an organization's incident 2
- 4. サイバー脅威インテリジェンス CyberThreat Intelligence (CTI) 観測事象 TTPs 水飲み場標的型メール CVE-2014-6324 いつ (When) 何が (What) 誰が (Who) なぜ (Why) どこを (Where) どのように (How) Indicators (マルウェアのハッシュ値、 C&C サーバのアドレス等) 目標とする 地域・産業・組織 TTPs: Tactics, Techniques and Procedures 3
- 5. 人間系 CTI / Human CTI 共 有 把 握 CTI 提供 Web サイト / Web sites which provide CTI セキュリティ会社のレポート / Reports from security vendors Email 電話 SNS Sharing Awareness 4
- 6. システム系 CTI / System CTI 上記の標準は OASIS CTI 技術委員会で策定 STIX/TAXII is standardized by OASIS CTI Technical Committee STIX:脅威情報構造化記述形式 (Structured Threat Information Expression) TAXII:検知指標情報自動交換手順 (Trusted Automated Exchange of Indicator Information) 共 有 把 握 Sharing Awareness 5
- 7. S-TIP 特徴 / Features 人 間 系 CTI システム系 CTI SNS PC Smart- phone Ticketing System DHS AIS Security Appliances DB Open Source CTI Commercial CTI Splunk / SOAR Seamless Threat Intelligence PlatformS-TIP 人間系CTIとシステム系CTIを STIX データベースによりシームレスに統合 Integrates Human CTI and System CTI seamlessly through STIX DB 6
- 8. CTI 要素抽出 CTI Element Extractor 7
- 9. CTI グラフ解析 CTI Graph Analytics 8
- 10. 様々なプラットフォームとの連携 Integration with other platforms Slack チケット管理システム / Ticketing System JIRA MISP Splunk SOAR (Security Orchestration and Automated Response) Phantom 9
- 11. S-TIP Demo 10
- 12. S-TIP 基本情報 S-TIP Basic Information •動作条件 / Requirements • Python 2.7 (3.8へ移行中) • Django • MongoDB • MySQL •STIX/TAXII に対応 • Version 1 & 2 (TAXII 2.0は対応中) 11
- 13. S-TIP 構成 S-TIP Architecture RS (Repository System) SNS GV (GraphView) API API (インターネット上の TAXII サーバ) DB 12