GreyNoiseを使ったサイバー脅威インテリジェンス(CTI)活用

はじめに

まず、サイバー脅威インテリジェンス(CTI = Cyber Threat Intelligence）とは、サイバー攻撃に関する情報を収集して整理・分析したものとなります。
CrowdStrikeのこちらの記事ではCTIがどういった用途で使われるのか、以下のようなものをあげています。

活用する人	用途
セキュリティ／ITアナリスト	セキュリティプロダクトへの統合
	URL、IP、ドメイン、ファイルをブロック
SOC	アラート分析の付加情報
	アラートの相関付け
	導入したセキュリティ製品のチューニング
CSIRT	インシデントの詳細把握
	インシデントの根本原因
インテルアナリスト	侵入痕跡の調査
	脅威アクターの調査
経営者	企業が保有している脅威レベルの評価
	セキュリティロードマップの作成

また、CTIの情報内容はTactical（戦術的インテリジェンス）、Operational（運用インテリジェンス）、Strategic（戦略的インテリジェンス）の3つのレベルタイプに分けることができます。

今回は主にこの中のTactical、Operationalのインテリジェンスを取得するのに有効なツールGreyNoiseを使ってみました。

GreyNoiseの目的

GreyNoiseは、世界中のインターネットをスキャンし、攻撃に関連するIPを収集、分析、ラベル付けし、セキュリティツールのノイズを削減するために必要なインテリジェンスを提供します。

GreyNoiseでできること

• セキュリティアナリストが注目しなくても良いイベントを認識する
• 感染している端末を見つけることができる
• 実際にインターネット上で実行されている脅威情報を確認する

使ってみる

こちらからアカウントを作成すると無料で使い始めることができます。（※有料プランもあり）

ログインするとこのようなホーム画面が表示されます。

IPアドレスで検索する

IPを入力すると、GreyNoiseがスキャンした結果、攻撃に関連するアクション・攻撃ツール・攻撃アクター・ワームなどのタグが付けられていた場合に、その情報が表示されます。GreyNoiseの目的でも記載したように、セキュリティツールでアラートが上がってきているが、そのIPアドレスについて分析のため追加のインテリジェンスを付加したい場合などに検索をかけます。
Maliciousと判定されている場合です。

Benignと判定されている場合は、セキュリティツールのアラートがFalsePositiveであった可能性が高くなります。

また、OS情報やWebリクエスト、Hash情報、Tagsから様々な情報を得ることができます。

メタデータを使って検索する

GreyNoise内のメタデータを使用して検索することも可能です。（https://docs.greynoise.io/docs/using-the-greynoise-query-language-gnql）
例えば、メタデータを組み合わせることでWindows OSのTCPプロトコルの445番ポートでスキャンをかけてくる端末の一覧を取得することなどができます。
これには検索窓に

(raw_data.scan.port:445 and raw_data.scan.protocol:TCP) metadata.os:"Windows*"

このようなクエリを書くことで検索できます。

Tags/CVEコードを使って検索する

上記の検索窓に、攻撃に関連するアクション・攻撃ツール・攻撃アクター・ワームなど（Tags）をキーワードに検索することが可能です。

tags:emotet

CVEコードでも検索できます。

CVE-2022-41040

トレンドを確認する

GreyNoiseの3日間の間にタグ付けされたタグの変動率と比較して、直近で大きく変動したタグの変動率をランキング形式で表示します。

GreyNoiseの10日間の間にタグ付けされたタグのスパイクしたピーク値を見つけ、スコア付けしたものをランキング形式で表示します。

どちらもプロアクティブな分析用途として、（まだニュースになる前の）現在、攻撃アクターが実施しているキャンペーンを把握したり、頻繁に狙われているCVEコードからパッチ適用のプライオリティ付けをするのに役立てることができます。

まとめ

今回は、脅威ハンティングやインシデントレスポンスに利用できるCTIツール GreyNoise について紹介しました。APIも提供されているので、こちらを使ってSIEM製品やSOAR製品と連携して、検知や対応の自動化を行うことができそうです。