株式会社カスペルスキーは9月1日、Microsoft Sentinelユーザーへの脅威インテリジェンスの提供開始を発表した。
カスペルスキーは同社の法人向け脅威データフィードサービス「Kaspersky Threat Data Feeds」から、Microsoftのクラウドネイティブ型のセキュリティ情報イベント管理(SIEM)及びセキュリティ オーケストレーション自動応答(SOAR)ソリューション「Microsoft Sentinel」への脅威インテリジェンスの提供を開始する。
「Kaspersky Threat Data Feeds」は、Kaspersky Security Network、ボットネット監視サービス、スパムトラップ、Kasperskyのグローバル調査分析チーム(GReAT)、研究開発チームの専門家等のリソースも含む世界中の信頼できる複数のソースから高品質なデータを集約し、リアルタイムで自動的に生成される。
「Microsoft Sentinel」では、TAXIIプロトコルを使用しSTIX形式でデータフィードを取得するため、Kaspersky Threat Data FeedsをTAXII脅威インテリジェンスソースとして設定が可能となり、Microsoft Sentinel利用企業の担当者は、脅威インテリジェンスのインポート後に、予め用意された分析ルールを使用してフィード内の脅威の痕跡とログの照合ができる。
フィード内のコンテキストには、脅威名、タイムスタンプ、ジオロケーション、感染したWebリソースの解決済みIPアドレス、ハッシュ値などが含まれ、ITセキュリティ担当チームやSOCのアナリストは、調査やインシデントレスポンスチームへのエスカレーションなどを行う際に、これらのデータを使用し十分な情報に基づいた判断を行うことで、初期アラートのトリアージが可能となる。
