GreyNoiseを使ったサイバー脅威インテリジェンス(CTI)活用

企業の脅威ハンティングプロセスを強化するCTIツール GreyNoise を使ってみた。
2022.10.31

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

まず、サイバー脅威インテリジェンス(CTI = Cyber Threat Intelligence)とは、サイバー攻撃に関する情報を収集して整理・分析したものとなります。
CrowdStrikeのこちらの記事ではCTIがどういった用途で使われるのか、以下のようなものをあげています。

活用する人 用途
セキュリティ/ITアナリスト セキュリティプロダクトへの統合
URL、IP、ドメイン、ファイルをブロック
SOC アラート分析の付加情報
アラートの相関付け
導入したセキュリティ製品のチューニング
CSIRT インシデントの詳細把握
インシデントの根本原因
インテルアナリスト 侵入痕跡の調査
脅威アクターの調査
経営者 企業が保有している脅威レベルの評価
セキュリティロードマップの作成

また、CTIの情報内容はTactical(戦術的インテリジェンス)、Operational(運用インテリジェンス)、Strategic(戦略的インテリジェンス)の3つのレベルタイプに分けることができます。

今回は主にこの中のTactical、Operationalのインテリジェンスを取得するのに有効なツールGreyNoiseを使ってみました。

GreyNoiseの目的

GreyNoiseは、世界中のインターネットをスキャンし、攻撃に関連するIPを収集、分析、ラベル付けし、セキュリティツールのノイズを削減するために必要なインテリジェンスを提供します。

GreyNoiseでできること

  • セキュリティアナリストが注目しなくても良いイベントを認識する
  • 感染している端末を見つけることができる
  • 実際にインターネット上で実行されている脅威情報を確認する

使ってみる

こちらからアカウントを作成すると無料で使い始めることができます。(※有料プランもあり)

ログインするとこのようなホーム画面が表示されます。

IPアドレスで検索する

IPを入力すると、GreyNoiseがスキャンした結果、攻撃に関連するアクション・攻撃ツール・攻撃アクター・ワームなどのタグが付けられていた場合に、その情報が表示されます。GreyNoiseの目的でも記載したように、セキュリティツールでアラートが上がってきているが、そのIPアドレスについて分析のため追加のインテリジェンスを付加したい場合などに検索をかけます。
Maliciousと判定されている場合です。

Benignと判定されている場合は、セキュリティツールのアラートがFalsePositiveであった可能性が高くなります。

また、OS情報やWebリクエスト、Hash情報、Tagsから様々な情報を得ることができます。

メタデータを使って検索する

GreyNoise内のメタデータを使用して検索することも可能です。(https://docs.greynoise.io/docs/using-the-greynoise-query-language-gnql)
例えば、メタデータを組み合わせることでWindows OSのTCPプロトコルの445番ポートでスキャンをかけてくる端末の一覧を取得することなどができます。
これには検索窓に

(raw_data.scan.port:445 and raw_data.scan.protocol:TCP) metadata.os:"Windows*"

このようなクエリを書くことで検索できます。

Tags/CVEコードを使って検索する

上記の検索窓に、攻撃に関連するアクション・攻撃ツール・攻撃アクター・ワームなど(Tags)をキーワードに検索することが可能です。

tags:emotet

CVEコードでも検索できます。

CVE-2022-41040

トレンドを確認する

GreyNoiseの3日間の間にタグ付けされたタグの変動率と比較して、直近で大きく変動したタグの変動率をランキング形式で表示します。

GreyNoiseの10日間の間にタグ付けされたタグのスパイクしたピーク値を見つけ、スコア付けしたものをランキング形式で表示します。

どちらもプロアクティブな分析用途として、(まだニュースになる前の)現在、攻撃アクターが実施しているキャンペーンを把握したり、頻繁に狙われているCVEコードからパッチ適用のプライオリティ付けをするのに役立てることができます。

まとめ

今回は、脅威ハンティングやインシデントレスポンスに利用できるCTIツール GreyNoise について紹介しました。APIも提供されているので、こちらを使ってSIEM製品やSOAR製品と連携して、検知や対応の自動化を行うことができそうです。