行動分析型
Threat Intelligence
クラウド、ハイブリッド、エアギャップ環境を横断して、ファイルの痕跡や行動パターンを実用的な知見へと変換するテクノロジーエンジン。
- 高忠実度IOC
- 類似度相関
- オフライン対応
OPSWAT 信頼
50B以上
グローバル脅威インジケーター
Sandbox
行動に基づくIOC
MISP & STIX
エクスポート
脅威情報の共有と
の自動化
機械学習ベースの
類似性検索
オフライン評判対策パッケージ
SIEMおよびSOARに対応
MITREマッピングされた検知コンテキスト
評判だけでは不十分だ
企業では毎日、何千ものファイル、電子メール、データ交換が行われています。詳細な検査とポリシーの
徹底的な適用が行われない場合、機密情報が気づかれずに漏洩し、深刻なコンプライアンスおよびセキュリティ上のリスクを引き起こす可能性があります。
騒音が多すぎて、背景情報が足りない
レピュテーション情報のみを提供するフィードは、行動分析に基づく洞察を伴わない生の指標しか提供しないため、アナリストは真のリスクを判断するために、複数のツールを手作業で切り替えて確認せざるを得ない。
多形マルウェアはシグネチャを回避する
再コンパイルされたバリアントやコードの微細な変更は、ハッシュベースの検出を回避するため、キャンペーンやインフラ全体にわたって可視性に穴が生じます。
情報の縦割り構造が捜査の足かせとなっている
サンドボックスの結果、レピュテーションデータ、およびハンティングワークフローが連携していないと、調査に時間がかかり、ゼロデイの関連性が見過ごされてしまう。
指標から知見へ
グローバルなレピュテーション情報と、行動分析および類似性分析を関連付ける統合型脅威インテリジェンスエンジン。
深みのある評判
ファイル、URL、IPアドレス、ドメインをグローバルな情報源と照合し、その結果を行動指標と関連付けることで、より精度の高いリスク評価を行います。
行動エンリッチメントを施したIOC
サンドボックスから生成された実行時アーティファクト(削除されたファイル、レジストリの変更、実行チェーン、C2コールバックなど)を取り込み、単純なハッシュ値以上のコンテキスト情報を追加します。
機械学習による脅威パターンの相関分析
サンプル間の動作や構造上の類似点をクラスタリングすることで、関連するマルウェアのファミリー、亜種、およびキャンペーンを特定します。
相関分析を行うインテリジェンス、
は単なるデータ収集にとどまらない
指標、行動、および攻撃者のインフラストラクチャ間の関連性を明らかにするために設計された、多層的なインテリジェンス・パイプライン。
ステップ1脅威レピュテーションエンジン
ファイルやインフラストラクチャのアートファクトを、数十億件に及ぶグローバルな指標と照らし合わせて評価し、正規化されたスコアとコンテキストに基づく分類結果を、リアルタイムまたはオフラインで返します。
- ステップ2
行動相関層
サンドボックスから抽出したIOCや実行時の挙動をマッピングし、悪意のある意図、持続化手法、および攻撃者の手口を特定します。
- ステップ3
脅威パターンの相関分析とクラスタリング
機械学習を活用して構造的および行動的な類似性を検出し、これまで見過ごされていた変種やキャンペーン間の関連性を明らかにします。
指標を超えた知見
世界的な評価、行動ベースのIOC、および類似性検索を組み合わせることで、未知の脅威を特定し、調査時間を短縮し、検知精度を向上させます。
Sandbox
に関する情報
動的解析から抽出された行動ベースのIOCを用いてレピュテーションチェックを強化し、レピュテーション情報のみを利用するインテリジェンス・プラットフォームと比較して、検知精度を向上させます。
変異検出
大規模な
類似性検索により、改変されたマルウェアやポリモーフィック型マルウェアを検知し、攻撃者がハッシュ値やインフラをローテーションさせた場合の検知の死角を軽減します。
自動化対応の
データ強化
REST API、MISP、STIX、およびJSONによる構造化されたデータ出力により、エンジニアリングの負担を最小限に抑えつつ、SIEMやSOARとの迅速な統合が可能になります。
インテリジェンスの相関分析の実例をご覧ください
行動ベースのIOC、レピュテーション・スコアリング、および類似性検索が、隠れたキャンペーン間の関連性をどのように明らかにするのかを探ります。
行動インテリジェンスと評判のみに基づくフィードの比較
従来の脅威インテリジェンス・プラットフォームは、主に既知のハッシュ値、IPアドレス、ドメインに依存しています。これらは有用ではありますが、攻撃者にとっては容易にすり替えられる指標です。
このインテリジェンス・エンジンは、実行フロー、永続化手法、構成パターン、インフラの再利用といった行動の痕跡を相互に関連付けます。この変化により、検知が攻撃者のオペレーショナル・スタックの上位層へと移行し、攻撃の回避がより困難かつ目立つものとなります。
その結果、個々の要素ではなく、キャンペーン全体にわたる関連性を検知するインテリジェンスが実現されます。
セキュリティ運用が行われる場所にインテリジェンスを導入する
クラウドAPI、ハイブリッドエンリッチメント、またはオフラインインテリジェンスパッケージを活用し、SIEM、SOAR、およびハンティングワークフローに脅威のコンテキストを提供します。
ハイブリッド展開
Cloud とオンプレミスCloud 。企業のSOCおよびTIPワークフローに対応しています。
エアギャップ環境のサポート
オフライン評判管理パッケージ。規制対象環境における情報継続性。
Cloudインテリジェンス
リアルタイムAPI 。継続的に更新されるグローバルデータセット。
大手グローバル企業からの信頼
OPSWAT 、デバイスやファイルを介して侵入する脅威から重要なデータ、資産、ネットワークを保護するため、世界中で2,000以上の組織からOPSWAT
Clalit Health Services、セキュリティおよびインフラ・コミュニケーション部門責任者
- OPSWATマルチスキャン機能とエミュレーションベースのサンドボックスにより、深度と速度の両方を実現しています。ファイルの許可またはフラグ付けは数時間ではなく、数分で完了します。政府のサイバーセキュリティ専門家
- OPSWAT Multiscanning OPSWATSandboxを導入することで、銀行は重要な業務フローを妨げることなくサイバーセキュリティ体制を強化しました。これらの技術のシームレスな統合により、脅威検知能力が向上し、行動分析が効率化され、厳格な金融セキュリティ規制への準拠が確保されました。
- OPSWAT 、お客様の機密データと情報が安全に保護されているとOPSWAT 。」ザヒ・ベンアブ
Clalit Health Services、セキュリティおよびインフラ・コミュニケーション部門責任者 - 「拡大する需要に対応しつつコストを抑制できる、拡張性のあるソリューションが必要でした。従来のサンドボックス化は効果的でしたが、データ処理のニーズが増大するにつれ、持続不可能になってきました。」セキュリティ運用責任者
参考資料
レポート2023年 脅威インテリジェンストレンド
- データシート
SANS検知・対応調査
- データシート
2025OPSWAT 脅威ランドスケープ・レポート
ソリューション・ブリーフMetaDefender Threat Intelligence
