はじめに
こんにちは @daimat です。
突然ですが皆さん、もしかして Microsoft の脅威インテリジェンス製品である Microsoft Defender Threat Intelligence(MDTI)の事を忘れていたりしませんでしょうか?
MDTI はセキュリティアナリスト/エンジニアが脅威の分析を効率的に行うためのプラットフォーム(検索可能なデータベース)です。
2023年11月の Microsoft Ignite 2023周辺でいくつかのアップデートが発表されたのにも関わらず Ignite で報告されたニュースの一覧であるBook of Newsにも MDTI は目次にはなく、MDTI の特性上フロントに立つ各 UI の裏側からログ情報を補足する立場にあるため仕方がないとは言え、皆さんから忘れられそうで少々かわいそうな扱いでした。
そこで、この記事では見つけるのが比較的難しい MDTI の5つの Update 情報を共有します。
更新 1. Security Copilot ライセンスに MDTI が付いてくる
Security Copilot に MDTI の有償版 Premium version のライセンスが含まれることが発表されました。
Security 向けに Fine Tuning が施された LLM である Security Copilot に脅威インテリジェンスが内包されるというのは自然な流れであり、逆にいうとこうせざるを得なかったんだとも想像します。
こちらについては、@ishiayaya (石川 陽一)さんの記事でもご紹介してくださっているセキュリティに関する Keynote でも言及されています。
更新 2. Security Copilot との統合
Security Copilot との統合では MDTI の脅威、アーティファクト、脅威アクターの概要や TTPs(Tactics:戦術、Techniques:技術、Procedures:手順)などの膨大なコンテンツを瞬時に要約して提供することで、セキュリティチームに重要な状況認識が提供されます。
この統合によって、成熟度の低いユーザーであっても脅威インテリジェンスを理解できるようになり、複雑で反復的なタスクを簡素化することで、SOCのサイバーセキュリティスキルギャップを埋めることができますし、熟練者であってもインシデント発生時に多くの情報をできる限り早く理解するのに役立てることが可能です。
それ以外にも以下のようなシナリオに利用できたりします。
- TI の記事を検索で入手
- IPアドレスでトラッカーを取得
- IPアドレスでWeb Componentsを取得する
- ホストペアの親を取得する
更新 3. 脆弱性プロファイル機能が追加
MDTI 内でCVE 情報の検索とプロファイルの表示ができるようになりました。
以下の情報を確認することが可能です。
- A detailed description
- CVSS (Common Vulnerability Scoring System) scores
- A priority score
- Exploits
- Related IoCs
- Mitigation guidance
- Deep and dark web chatter observations
これを読まれた方で CVE 情報をここで検索できる必要ってなに? と、思われた方は鋭い。これには2つの理由があり、インシデントハンティングを行う際にはできる限り画面遷移や新しいウィンドウを作成しないことを実現したいという事と Security Copilot の Fine Tuning のデータとして取り扱うことで、よりコンテキストに応じた回答を返すことを目的としています。
更新 4. ファイルとURL(デトネーション)インテリジェンス
ファイルハッシュと URL のデトネーション結果を Defender XDR の Threat Intelligence メニューから確認することが可能になりました。
デトネーションとはサンドボックス環境で実際に動作させることであり、これまでの脅威インテリジェンス内の評価値に加えて実際に動作させた場合の情報を確認することが可能になったことで悪意のあるファイルやURLを素早く理解することにつながります。
更新 5. MDTI が Defender XDR(旧 Microsoft 365 Defender)に追加
タイトルの通り Defender XDR の左のメニューに MDTI のブレードが追加されました。いやぁ、目立つ場所に来てくれて個人的には嬉しい限りです。
このメニューから以下の情報にアクセスすることが可能です。
- Intel Profiles – 脅威アクターのプロファイル
- Intel explorer – 脅威情報の検索
- Intel Projects – 任意の脅威情報を保存
なお、無償版の範囲でも OSINT からのインジケーターや一部の脅威アクターの情報にアクセスが可能ですが、300を超える脅威アクターのプロファイルやその他すべての情報にアクセスするには Premium ライセンスが必要になりますのでご注意ください。
まとめ
MDTI の最近の更新内容を記事にしました。
MDTI は Security Copilot のライセンスに内包されますが、MDTI 単体としてみた場合にも API を通じて外部システムに対する脅威インテリジェンス情報を提供する使命は残るため当然ながら Premium version 単体の販売を継続いたします。引き続きご愛顧いただければ幸いです。