Kaspersky Threat Data Feeds について
2024年4月11日
ID 171550
このセクションでは、Kaspersky CyberTrace で使用できる Kaspersky Threat Data Feeds について説明します。
Kaspersky Threat Data Feeds の基本情報
一流のセキュリティベンダーと企業は、優れたセキュリティソリューションの開発や自社の事業の保護に実績と信頼を兼ね備えた Kaspersky Threat Data Feeds を使用しています。
サイバー攻撃は毎日発生しています。サイバー脅威は企業の防御力を低下させようと、常に頻度、複雑さ、難解さを増しています。ビジネスを中断させたり、顧客にダメージを与えたりするために、攻撃者は現在、複雑な侵入キルチェーン、キャンペーン、カスタマイズした戦術、手法、手順(TTP)を使用しています。
カスペルスキーは、サイバー脅威に関する情報が含まれる脅威データフィードを継続的に更新して提供し、サイバー脅威に関連するリスクと推測される脅威をお伝えすることで、脅威をより効果的に軽減し、攻撃が行われる前に防御できるよう支援します。
Kaspersky Threat Data Feeds に含まれている情報
Kaspersky Threat Data Feedsには、世界中の脅威インジケーターをリアルタイムな情報源とする、徹底的に検証された脅威インジケーターデータが含まれています。
各フィードのどのインジケーターも、実用的な背景情報(脅威の名前、タイムスタンプ、地理位置情報、解決された IP、感染した Web リソースのアドレス、ハッシュ、知名度など)で強化されており、さらなる脅威インテリジェンスの計画を可能にします。背景情報データを使用すると、「全体像」を明らかにして、データの幅広い使用を検証してサポートできるようになります。
背景情報に沿ってデータをより迅速に活用することで、攻撃者の特定につながる「いつ誰がどこで何をした」への答えを出して、自社組織に固有のタイムリーな決定を下して対策を講じることができます。
使用可能なフィードグループ
Kaspersky CyberTrace で使用できる Kaspersky Threat Data Feeds は次の主要グループに分類できます:
- 製品版フィード
このグループには、製品版の証明書でアクセスできる通常の製品版フィードがあります。このグループのフィードは幅広いサイバー脅威をカバーします。
- APT feeds
APT feeds は、持続的標的型(APT)キャンペーン関連のサイバー脅威に関する情報を含んだ製品版フィードです。
- デモ用のフィード
デモ用のフィードは評価に使用できます。これらのフィードには、製品版の証明書は必要ありません。デモ用のフィードの検知率は、対応する製品版よりはるかに下がります。
- 差分フィード
差分フィードは、カスペルスキーのアップデートサーバーからロードされるデータのサイズを抑えるように設計されています。差分フィードは主要なデータフィードで使用できます。差分フィードでは、更新サーバーで使用可能な snapshot および差分パートが存在します。snapshot は、毎日生成されるフィードのフル機能版です。フィードの差分パートには、フィードを最新にするためにフィードに適用する必要がある変更内容が含まれています。フィードの更新頻度に応じて差分パートが生成されます。
製品版フィード
このグループでは次のフィードを使用できます。
- Botnet C&C URL Data Feed
このフィードには、コマンドアンドコントロールサーバー(C&C)とボットネットに関連する Web リソースを検知するための URL とマスクが含まれています。
- IP Reputation Data Feed
このフィードには、疑わしい IP アドレスや悪意のある IP アドレスが含まれています。
- Malicious Hash Data Feed
このフィードには、現実の世界で拡散された最も危険なマルウェア、流行しているマルウェア、および新規のマルウェアを検知するための悪意のあるオブジェクトのハッシュが含まれています。
- Malicious URL Data Feed
このフィードには、悪意のある Web リソースを検知するための悪意のある URL とマスクが含まれています。
- Mobile Botnet C&C URL Data Feed
このフィードには、コマンドアンドコントロールサーバー(C&C)とモバイルのボットネットに関連する Web リソースを検知するための URL とマスクが含まれています。
- Mobile Malicious Hash Data Feed
このフィードには、モバイルプラットフォームを標的とする悪意のあるオブジェクトのハッシュが含まれています。
- Phishing URL Data Feed
フィードには、フィッシング Web リソースを検知するためのフィッシング URL とマスクが含まれています。
- Ransomware URL Data Feed
このフィードには、ランサムウェアが接続を試みる URL とマスクが含まれています。
- IoT URL Data Feed
このフィードには、IP カメラ、ルーター、食器洗い機などの IoT(モノのインターネット)デバイスに感染するマルウェアをダウンロードするために使用された URL のマスクが含まれています。
- ICS Hash Data Feed
このフィードには、産業用制御システム(ICS)インフラストラクチャの攻撃に使用される悪意のあるオブジェクトを対象とする、対応する背景情報を含む一連のファイルハッシュが含まれています。
APT feeds
このグループでは次のフィードを使用できます。
- APT Hash Data Feed
このフィードには、APT(持続的標的型)脅威アクターが APT キャンペーンの実施に使用する悪意のあるアーティファクトを対象としたハッシュが含まれています。
- APT IP Data Feed
このフィードには、APT(持続的標的型)キャンペーンで使用されたインフラストラクチャの一部だった IP アドレスが含まれています。
- APT URL Data Feed
このフィードには、APT(持続的標的型)キャンペーンで使用されるインフラストラクチャの一部である一連のドメインが含まれています。
デモ用のフィード
このグループでは次のデモ用のフィードを使用できます。
- Demo Botnet C&C URL Data Feed
Botnet C&C URL Data Feed に比べて検知率が低くなります。
- Demo IP Reputation Data Feed
IP Reputation Data Feed に比べて検知率が低くなります。
- Demo Malicious Hash Data Feed
Malicious Hash Data Feed に比べて検知率が低くなります。
差分フィード
差分バージョンは次のフィードで使用できます:
- Botnet C&C URL Data Feed
- Phishing URL Data Feed
- Malicious URL Data Feed
フィードレコードのソート順序
フィードレコードは次のようにソートされます。
- IP Reputation Data Feed のレコードは、脅威スコアの高い順にソートされます。
- 他のすべてのフィードのレコードは、知名度の高い順にソートされます。