Kaspersky Threat Data Feeds について
2024年2月27日
ID 171550
このセクションでは、Kaspersky CyberTrace で使用できる Kaspersky Threat Data Feeds について説明します。
Kaspersky Threat Data Feeds の基本情報
一流のセキュリティベンダーと企業は、優れたセキュリティソリューションの開発や自社の事業の保護に実績と信頼を兼ね備えた Kaspersky Threat Data Feeds を使用しています。
サイバー攻撃は毎日発生しています。サイバー脅威は企業の防御力を低下させようと、常に頻度、複雑さ、難解さを増しています。ビジネスを中断させたり、顧客にダメージを与えたりするために、攻撃者は現在、複雑な侵入キルチェーン、キャンペーン、カスタマイズした戦術、手法、手順(TTP)を使用しています。
カスペルスキーは、サイバー脅威に関する情報が含まれる脅威データフィードを継続的に更新して提供し、サイバー脅威に関連するリスクと推測される脅威をお伝えすることで、脅威をより効果的に軽減し、攻撃が行われる前に防御できるよう支援します。
Kaspersky Threat Data Feeds に含まれている情報
Kaspersky Threat Data Feedsには、世界中の脅威インジケーターをリアルタイムな情報源とする、徹底的に検証された脅威インジケーターデータが含まれています。
各フィードのどのインジケーターも、実用的な背景情報(脅威の名前、タイムスタンプ、地理位置情報、解決された IP、感染した Web リソースのアドレス、ハッシュ、知名度など)で強化されており、さらなる脅威インテリジェンスの計画を可能にします。背景情報データを使用すると、「全体像」を明らかにして、データの幅広い使用を検証してサポートできるようになります。
背景情報に沿ってデータをより迅速に活用することで、攻撃者の特定につながる「いつ誰がどこで何をした」への答えを出して、自社組織に固有のタイムリーな決定を下して対策を講じることができます。
使用可能なフィードグループ
Kaspersky CyberTrace で使用できる Kaspersky Threat Data Feeds は次の主要グループに分類できます:
- 製品版フィード
このグループには、製品版の証明書でアクセスできる通常の製品版フィードがあります。このグループのフィードは幅広いサイバー脅威をカバーします。
- APT feeds
APT feeds は、持続的標的型(APT)キャンペーン関連のサイバー脅威に関する情報を含んだ製品版フィードです。
- デモ用のフィード
デモ用のフィードは評価に使用できます。これらのフィードには、製品版の証明書は必要ありません。デモ用のフィードの検知率は、対応する製品版よりはるかに下がります。
- 差分フィード
差分フィードは、カスペルスキーのアップデートサーバーからロードされるデータのサイズを抑えるように設計されています。差分フィードは主要なデータ フィードで使用できます。差分フィードでは、更新サーバーで使用可能な snapshot および差分パートが存在します。snapshot は、毎日生成されるフィードのフル機能版です。フィードの差分パートには、フィードを最新にするためにフィードに適用する必要がある変更内容が含まれています。フィードの更新頻度に応じて差分パートが生成されます。
製品版フィード
このグループでは次のフィードを使用できます。
- Botnet CnC URL Data Feed
デスクトップのボットネット C&C サーバー、関連する悪意のあるオブジェクト(ボット)を対象とする背景情報を含む一連の URL です。
- IP Reputation Data Feed
疑わしいホストや悪意のあるホストの様々なカテゴリを対象とする背景情報を含む一連の IP アドレスです。
- Malicious Hash Data Feed
流行しているマルウェアを対象とする背景情報を含む一連のファイルハッシュです。
- Malicious URL Data Feed
悪意のある Web サイトと Web ページを対象とする背景情報を含む一連の URL です。
- Mobile Botnet CnC URL Data Feed
モバイルのボットネット C&C サーバー、関連する悪意のあるオブジェクト(ボット)を対象とする背景情報を含む一連の URL です。
- Mobile Malicious Hash Data Feed
Google Android モバイルデバイスと Apple iPhone モバイルデバイスに感染する悪意のあるオブジェクトを対象とする背景情報を含む一連のファイルハッシュです。
- Phishing URL Data Feed
フィッシング Web サイトと Web ページを対象とする背景情報を含む一連の URL です。
- Ransomware URL Data Feed
ランサムウェアをホストするリンクや Web サイトを検知するための背景情報を含む一連の URL、ドメイン、およびホストです。
- IoT URL Data Feed
モノのインターネット(IoT)対応デバイスを狙うマルウェアのダウンロードに使用される悪意のあるリンクを対象とする背景情報を含む一連の URL です。
- ICS Hash Data Feed
ICS(産業用制御システム)インフラストラクチャの攻撃に使用される悪意のあるオブジェクトを対象とする背景情報を含む一連のハッシュです。
APT feeds
このグループでは次のデモ用のフィードを使用できます。
- APT Hash Data Feed
APT アクターが APT 攻撃の実施に使用する悪意のあるアーティファクトを対象とした一連のハッシュです。
- APT IP Data Feed
APT キャンペーンに使用されるインフラストラクチャに属する一連の IP アドレスです。
- APT URL Data Feed
悪意のある APT キャンペーンに使用されるインフラストラクチャに属する一連のドメインです。
デモ用のフィード
このグループでは次のデモ用のフィードを使用できます。
- Demo Botnet CnC URL Data Feed
Botnet CnC URL Data Feed に比べて検知率が低くなります。
- Demo IP Reputation Data Feed
IP Reputation Data Feed に比べて検知率が低くなります。
- Demo Malicious Hash Data Feed
Malicious Hash Data Feed に比べて検知率が低くなります。
差分フィード
差分バージョンは次のフィードで使用できます:
- Botnet CnC URL Data Feed
- Phishing URL Data Feed
- Malicious URL Data Feed
フィードレコードのソート順序
フィードレコードは次のようにソートされます。
- IP Reputation Data Feed のレコードは、脅威スコアの高い順にソートされます。
- 他のすべてのフィードのレコードは、知名度の高い順にソートされます。