Filigran

Filigranの使い方は?

Filigranの使用方法:包括的ガイド

Filigranは、組織がサイバー脅威を積極的に理解し、予測し、対応することを支援するために設計された統合型eXtended Threat Management(XTM)スイートを提供するサイバーセキュリティ企業です。このプラットフォームは、脅威インテリジェンスの収集から侵害・攻撃シミュレーションまで、エンドツーエンドのサイバー脅威管理に焦点を当てています。

FiligranのXTMスイートの概要

FiligranのXTM(eXtended Threat Management)スイートは、包括的なサイバー脅威管理を提供するために連携して動作する3つの主要なオープンソースプラットフォームで構成されています。

1. OpenCTI - 脅威インテリジェンスプラットフォーム

OpenCTIは、組織がサイバー脅威インテリジェンスを収集、管理、運用することを可能にするオープンソースの脅威インテリジェンスプラットフォームです。

2. OpenBAS - 侵害・攻撃シミュレーションプラットフォーム

OpenBASは、侵害・攻撃シミュレーション、ストレステスト、危機管理演習を実施するためのプラットフォームです。

3. XTM Hub - 協働プラットフォーム

XTM Hubは、XTM製品のリソース、技術共有、コミュニティサポートを提供する中央協働プラットフォームとして機能します。

OpenCTIの開始方法

OpenCTIの主要機能の理解

OpenCTIは、以下の機能を持つナレッジグラフベースの脅威インテリジェンスプラットフォームとして機能します。

  • 脅威インテリジェンスの集約: 複数のソースからのデータを統一されたビューに集約
  • STIX 2.1標準のサポート: 他の脅威インテリジェンスツールとの相互運用性を確保
  • 高度な分析機能: 包括的な視覚化と相関機能を提供
  • 自動化の有効化: 自動化されたワークフローとデータ処理をサポート
  • 協働の促進: チームが脅威インテリジェンスを共有・配布することを可能に

OpenCTIの主要ユースケース

プラットフォームに基づいて、OpenCTIは以下の重要なユースケースに対応します。

  • サイバー脅威インテリジェンスナレッジベース: 全ての脅威インテリジェンスデータの集約リポジトリ
  • コードとしての検知: XDR、EDR、SIEM、ファイアウォール、その他のセキュリティツールへのフィード
  • インシデント対応管理: インシデント対応のためのアーティファクトとケース管理
  • 脆弱性管理: セキュリティ脆弱性の追跡と管理
  • レポート作成とダッシュボード: 脅威データの分析とレポート作成

OpenCTIのインストールとセットアップ

Dockerインストール(推奨)

OpenCTIを展開する最も迅速な方法はDockerを使用することです。以下がステップごとのプロセスです。

前提条件

# Linux
sudo apt install docker-compose
# Windows/MacOS
winget install Docker.DockerDesktop Git.Git --accept-package-agreements --accept-source-agreements

クローンと設定

mkdir -p /path/to/your/app && cd /path/to/your/app
git clone https://github.com/OpenCTI-Platform/docker.git
cd docker

環境設定

必須パラメータを含む.envファイルを作成

OPENCTI_ADMIN_EMAIL=admin@opencti.io
OPENCTI_ADMIN_PASSWORD=ChangeMePlease
OPENCTI_ADMIN_TOKEN=$(cat /proc/sys/kernel/random/uuid)
OPENCTI_BASE_URL=http://localhost:8080
# 追加の設定パラメータ...

デプロイ

# 必要なシステムパラメータを設定
sudo sysctl -w vm.max_map_count=1048575

# サービスを開始
docker-compose up -d
設定された認証情報を使用して http://localhost:8080 でプラットフォームにアクセスできます。

手動インストール

カスタム展開を必要とする組織のため、OpenCTIは手動インストールをサポートしています。

依存関係

sudo apt-get update
sudo apt-get install build-essential nodejs npm python3 python3-pip python3-dev

ダウンロードと設定

mkdir /path/to/your/app && cd /path/to/your/app
wget https://github.com/OpenCTI-Platform/opencti/releases/download/{VERSION}/opencti-release-{VERSION}.tar.gz
tar xvfz opencti-release-{VERSION}.tar.gz
cd opencti
cp config/default.json config/production.json
データベース、Redis、RabbitMQ、S3設定でconfig/production.jsonを編集してください。

OpenCTIダッシュボードとナビゲーション

OpenCTIウェルカムダッシュボードは、以下を含むプラットフォーム活動の概要を提供します。

  • 脅威統計: 侵入セット、マルウェア、レポート、指標の数
  • 活動チャート: 最も活発な脅威、標的となった被害者、脆弱性
  • 地理的インテリジェンス: 標的国と地域
  • 最新インテリジェンス: 最新レポートと最も活発なラベル

ユーザーは組織固有のニーズに基づいてダッシュボードをカスタマイズしたり、新しいものを作成したりできます。

OpenBASでの作業

OpenBASの主要機能

OpenBASは以下の主要機能を持つ侵害・攻撃シミュレーション用に設計されています。

シナリオベースシミュレーション

実際の脅威に基づく現実的な攻撃シナリオの作成

資産・エンドポイントテスト

技術的シミュレーションに対するセキュリティ態勢の評価

チーム評価

危機シミュレーションを通じたチームスキルの向上

Capture The Flag(CTF)

セキュリティトレーニング競技の開催

アトミックテスト

特定の技術的テストの実施

OpenBASインストール

OpenCTIと同様に、OpenBASはDockerと手動インストール方法の両方をサポートしています。

Dockerインストール

git clone https://github.com/OpenBAS-Platform/docker.git
cd docker
# .envファイルを設定
docker-compose up -d

エージェント展開

OpenBASエージェントは、シミュレーション実行を可能にするために対象資産に展開されます。プラットフォームは複数のエージェント展開モードをサポートしています。

  • 標準インストール: 従来のエージェント展開
  • 攻撃者模倣展開: 実際の攻撃者手法を模倣
  • 一時的展開: 限定時間シミュレーション用

初回シミュレーションの作成

1プレイヤーと資産の設定

シミュレーションを実行する前に、以下を設定してください。

  • プレイヤー: シミュレーションに参加する個人ユーザー
  • チーム: 機能や部署ごとに編成されたプレイヤーグループ
  • 資産: 標的となるシステム、エンドポイント、インフラストラクチャ

2シナリオの構築

2つのアプローチでシミュレーションシナリオを作成できます。

オプション1: XTM Hubからのインポート

  1. シナリオメニューへ移動
  2. 「Hubからインポート」をクリック
  3. 業界、攻撃タイプ、脅威アクターで事前構築されたシナリオを閲覧
  4. 環境に合わせてダウンロード・カスタマイズ

オプション2: ゼロから作成

  1. シナリオメニューで新しいシナリオを作成
  2. Injectsタブでインジェクト(シミュレーションイベント)を追加
  3. 各インジェクトの標的を定義
  4. タイミングと期待される結果を設定
  5. ドキュメント、メディアプレッシャー、チャレンジでカスタマイズ

3シミュレーション実行

シミュレーションをスケジュールして実行

  1. 「今すぐシミュレート」をクリックしてスケジュール
  2. リアルタイムでシミュレーション進捗を監視
  3. 実行中に手動での期待値を検証
  4. シミュレーション後に結果と指標をレビュー

結果の評価

OpenBASは4つの主要エリアにわたる包括的な指標を提供します。

予防

技術的イベントの完了を防ぐ能力

検知

悪意のある活動を特定する能力

人的対応

チームの反応と対応効果

脆弱性

一般的脆弱性露出(CVE)の検出

高度な機能と統合

OpenCTIコネクタ

OpenCTIのコネクタエコシステムは、多数の外部ツールとデータソースとの統合を可能にします。コネクタはいくつかのカテゴリに分類されます。

インポートコネクタ: 外部データをOpenCTIに取り込み

  • 脅威インテリジェンスフィード(MISP、AlienVault OTX等)
  • 商用インテリジェンスサービス
  • セキュリティツール出力

エクスポートコネクタ: OpenCTIデータを外部システムに送信

  • SIEMプラットフォーム
  • セキュリティオーケストレーションツール
  • レポートシステム

ストリームコネクタ: リアルタイムデータ同期

  • ライブ脅威フィード更新
  • 継続監視統合

エンタープライズ版機能

FiligranはOpenCTIとOpenBASの両方について、高度な機能を持つエンタープライズ版を提供しています。

OpenCTIエンタープライズ版

  • 高度なアクセス制御とデータ分離
  • 強化された自動化機能
  • AI駆動分析機能
  • 優先サポートとプロフェッショナルサービス
  • カスタムダッシュボードとレポート作成オプション

エンタープライズ版 vs コミュニティ版比較

機能 コミュニティ版 エンタープライズ版
ライセンス オープンソース 商用ライセンス
機能レベル 基本機能 高度機能
サポート コミュニティサポート プロフェッショナルサポート

STIX標準準拠

OpenCTIはSTIX 2.1(Structured Threat Information Expression)標準に完全準拠しており、以下を保証します。

  • 相互運用性: 他のSTIX準拠ツールとのシームレスなデータ交換
  • 標準化: プラットフォーム間での一貫したデータ表現
  • 将来対応: 進化するサイバーセキュリティ標準との整合

展開オプションとサービス

SaaS vs オンプレミス

Filigranは複数の展開モデルを提供しています。

SaaSオプション

  • 完全管理されたクラウドインスタンス
  • 自動更新とメンテナンス
  • 運用負荷の削減
  • スケーラブルなインフラストラクチャ

オンプレミス展開

  • データとインフラストラクチャの完全制御
  • カスタム設定オプション
  • 既存システムとの統合
  • データ所在地要件への準拠

プロフェッショナルサービス

Filigranは以下を通じて包括的なサポートを提供します。

サポートパッケージ

  • 全製品の技術サポート
  • カスタム統合ワークショップ
  • プラットフォーム健全性チェック
  • ベストプラクティスガイダンス

トレーニングプログラム

  • Eラーニングモジュール
  • インストラクター主導トレーニング
  • 役割別カリキュラム(アナリスト、管理者)
  • Filigranアカデミーを通じた認定プログラム

ベストプラクティスと実装戦略

展開の計画

評価フェーズ

  • 現在の脅威インテリジェンス機能を評価
  • 既存ツールとの統合要件を特定
  • 必要なデータソースとフィードを決定
  • ユーザーアクセスと組織構造を計画

実装アプローチ

  1. コミュニティ版を使用したパイロット展開で開始
  2. 必須コネクタとデータソースを設定
  3. プラットフォーム機能について初期ユーザーグループをトレーニング
  4. 段階的にスコープとユーザーベースを拡張
  5. 高度なニーズにはエンタープライズ版を検討

運用の卓越性

データ管理

  • 明確なデータ分類と取り扱い手順を確立
  • 定期的なデータ品質レビューを実施
  • 自動化されたデータ保持ポリシーを設定
  • コネクタ健全性とデータ取り込みを監視

ユーザー採用

  • 包括的なトレーニングプログラムを提供
  • 明確な役割と責任を確立
  • 標準操作手順を作成
  • コミュニティ参加と知識共有を奨励

パフォーマンス最適化

  • システムパフォーマンスとリソース使用率を監視
  • データベースクエリと検索操作を最適化
  • 適切なキャッシュ戦略を実装
  • 使用パターンに基づいてインフラストラクチャを拡張

セキュリティ考慮事項

アクセス制御

  • ロールベースアクセス制御(RBAC)を実装
  • 強力な認証メカニズムを使用
  • 定期的なアクセスレビューと更新
  • ユーザー活動とアクセスパターンを監視

データ保護

  • 転送中および保存中のデータを暗号化
  • セキュアな通信チャネルを実装
  • 定期的なセキュリティ評価と更新
  • バックアップと災害復旧手順

セキュリティエコシステムとの統合

SIEM統合

OpenCTIは主要なSIEMプラットフォームと統合して以下を提供します。

自動化された指標フィード

リアルタイムでの脅威指標配信

リアルタイム脅威インテリジェンス更新

継続的な脅威情報の同期

セキュリティイベントのコンテキスト情報

イベントの背景情報を提供

強化された検出機能

より精度の高い脅威検出

脅威ハンティング統合

以下を通じて脅威ハンティング活動をサポート

  • IOC(侵害指標)配布: 脅威ハンターへの指標提供
  • 脅威アクター属性情報: 攻撃者の特徴と手法
  • キャンペーンとマルウェアインテリジェンス: 攻撃キャンペーンの詳細情報
  • 過去の脅威分析: 履歴データに基づく分析

インシデント対応強化

以下でインシデント対応を改善

  • 自動化された脅威コンテキスト化: インシデントの背景情報を自動提供
  • 属性とキャンペーン情報: 攻撃者と攻撃キャンペーンの詳細
  • 関連脅威インテリジェンス収集: 関連する脅威情報の自動収集
  • インシデント後脅威状況更新: 事後の脅威環境分析

コミュニティとエコシステム

オープンソースコミュニティ

FiligranはOpenCTIとOpenBASを中心とした活発なオープンソースコミュニティを維持しています。

  • コード貢献のためのGitHubリポジトリ
  • リアルタイム議論のためのSlackチャネル
  • ドキュメントと知識共有
  • 定期的なコミュニティコールと更新

XTM Hubリソース

XTM Hubは以下を提供します。

事前構築されたシナリオとシミュレーション

すぐに利用可能な攻撃シナリオ

カスタムダッシュボードテンプレート

組織に合わせたダッシュボード

脅威インテリジェンスフィード

最新の脅威情報

ベストプラクティスドキュメンテーション

実装と運用のガイダンス

コミュニティ貢献コンテンツ

ユーザーによる共有リソース

パートナーエコシステム

Filigranは技術パートナーと協力して以下を提供します。

  • 統合ソリューション
  • 専門コネクタ
  • プロフェッショナルサービス
  • トレーニングと認定プログラム

監視とメンテナンス

システム健全性監視

定期的な監視には以下を含めるべきです。

  • プラットフォームのパフォーマンス指標: レスポンス時間、スループット
  • コネクタステータスとデータ取り込み率: データフロー監視
  • ユーザー活動とシステム使用率: 利用状況分析
  • エラーログとシステムアラート: 問題の早期発見

更新とメンテナンス

以下を通じてプラットフォーム健全性を維持

  • 定期的なソフトウェア更新
  • セキュリティパッチ管理
  • データベースメンテナンスと最適化
  • バックアップ検証とテスト

スケーリング考慮事項

成長に備えるために以下を行います:

  1. リソース使用率トレンドの監視
  2. インフラストラクチャスケーリングの計画
  3. データ保持ポリシーの最適化
  4. 必要に応じた負荷分散の実装

結論

FiligranのXTMスイートは、インテリジェンス収集からシミュレーション・テストまでをカバーする、サイバー脅威管理への包括的で統合されたアプローチを提供します。プラットフォームのオープンソース基盤と、エンタープライズグレードの機能およびプロフェッショナルサービスの組み合わせにより、あらゆる規模の組織に適したソリューションとなっています。

Filigranでの成功には、慎重な計画、適切な実装、継続的な最適化が必要です。組織は明確な目標を持って開始し、段階的に実装し、利用可能な活発なコミュニティとプロフェッショナルサービスを活用すべきです。STIXなどの標準への準拠は、長期的な相互運用性と価値を保証します。

脅威インテリジェンス管理のためのOpenCTI、侵害・攻撃シミュレーションのためのOpenBAS、または包括的脅威管理のための完全なXTMスイートを展開する場合でも、Filigranは積極的でインテリジェンス駆動のサイバーセキュリティプログラムを構築するために必要なツールとサポートを提供します。

重要: 強力なオープンソース機能、エンタープライズグレードの機能、プロフェッショナルサポートの組み合わせにより、Filigranはサイバー脅威管理能力を強化し、進化するサイバー脅威に対する回復力を構築しようとする組織にとって魅力的なオプションとなっています。

商品の詳細とお問い合わせはこちらから↓↓
 Filigran製品ページ

worldsoftへのお問い合わせはこちらから

-Filigran
-, , , , , ,