目次
Filigran(OpenCTI/OpenBAS)とは
Filigran XTM Suite は、オープンソースの OpenCTI(脅威インテリジェンス基盤)と OpenBAS(ブリーチ&アタック・シミュレーション)で構成される“インテリジェンス主導”のセキュリティ運用プラットフォームです。 CTIの収集・強化・配信と、攻撃シナリオの継続検証を一体化し、現場運用に直結する改善サイクルを回せます。
主な機能(実装ポイント)
1:共通データモデルでTIP×BASを連携
- OpenCTIとOpenBASが共通の脅威表現に立脚し、検知・防御・対応タスクを横断的に接続。
- CTIで得た知見をそのまま検証シナリオへ反映し、改善効果を継続評価。
2:多様なコネクターで脅威データを一元化
- IOC/TTP/CVE/テレメトリ/レポートなど、主要ベンダーやフィードとの連携を幅広くカバー。
- ノイズを文脈化し、優先すべき脅威に集中できる情報基盤を形成。
3:STIX 2.1準拠と相互運用性
- 標準スキーマ準拠で、他システムとのデータ交換・拡張・監査が容易。
- 自組織の主権要件やコンプライアンスにも適合しやすい設計。
4:ノーコード連携と自動化プレイブック
- SIEM/SOAR/EDR/チケッティングとコードレスに統合、調査・封じ込めを迅速化。
- 反復タスクを自動化し、アナリストは判断が必要な作業に専念。
5:ナレッジグラフとケース管理
- 脅威アクター・キャンペーン・インフラの関係性を可視化し、原因・影響を短時間で把握。
- 権限管理とケース管理で、SOC/IRチームのコラボレーションを促進。
6:ガイド付きの迅速デプロイ
- ガイド・テンプレート・自動化の組合せで、短時間で評価~本番へ移行可能。
- セルフホスト/マネージドSaaS/ハイブリッドの柔軟な配備形態に対応。
7:OpenBASのAI支援シナリオ設計
- ウィザードやAI補助により、多段の攻撃チェーンも素早く設計。
- 実運用に即したシナリオをカタログ化し、再現性の高い検証を継続。
8:CVE優先度付けと脅威文脈
- CTIの文脈(悪用状況・関与アクター・関連TTP)を踏まえ、対応優先度をリスクベースで決定。
- 優先CVEをBASの検証対象に落とし込み、防御カバレッジのギャップを素早く把握。
9:ダッシュボードと運用指標
- 検知率・封じ込め率・レスポンス時間などの指標を可視化し、改善の効果を定量管理。
- 経営層・現場・SecOpsで共有しやすいレポーティングを標準化。
10:パープルチーム訓練と定期検証
- レッド/ブルー/パープルチームの演習を定期化し、現場の対応力を底上げ。
- スケジュール実行と自動評価で、CTEM(継続的な脅威エクスポージャ管理)を実践。
活用アイデア
- アラート強化: SIEM/XDRアラートへCTI文脈を付与し、誤検知削減とスコアリング精度を向上。
- 脆弱性対応: 悪用可能性・関連アクターを踏まえたCVE優先度付け → BASで即検証 → 改善の定着。
- インシデント対応: ケース管理と自動化で封じ込めを高速化、再発防止の知見をナレッジ化。
- 経営レポート: 検知率・復旧時間などをダッシュボード化し、改善サイクルを可視化。
- トレーニング: 標準シナリオ+自社固有の想定で演習を繰り返し、対応プロセスを磨く。
まとめ
Filigran XTM Suiteは、CTIとBASを共通言語で結ぶことで、検知・防御・対応の改善を“現場の手触り”で前進させます。 まずは小規模PoCで優先ユースケース(例:特定CVEの検証、特定アクターの監視強化)を絞り込み、 ダッシュボードで効果を見える化するのが近道です。
当ブログでは今後も様々な製品をさらに便利に使いこなすための情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!