TISC データ処理機能フロー
脅威インテリジェンスセキュリティセンター (TISC) では、データの収集や処理を自動化するソリューションを提供し、手動による手順を回避することで脅威インテリジェンスアナリストの負担を軽減します。
脅威インテリジェンスセキュリティセンター (TISC) では、次のいずれかの方法でインテリジェンスを収集します。
- スケジュールに従って実行される事前構成済みのデータソースからの取り込み。
- 脅威インテリジェンスアナリストが「インテリジェンスをインポート (Import Intelligence)」機能を使用してデータをインポート。
- アプリケーション内で個々のレコードを手動で作成。注:アプリケーションで収集されたデータは、脅威インテリジェンスライブラリにロードされる前に、情報の正規化、重複排除、集計の処理が行われます。
データ処理で使用される基本用語
- ソーステーブル:ソーステーブルには、複数のソースからフェッチされたエンティティに関連するデータが含まれ、各ソースでレコードが作成されます。
- 集計レコード:集計レコードテーブルには、特定のエンティティに関連するデータが含まれ、特定のエンティティが有するあらゆるソースレコードからのデータが集計されています。
TISC データフロー
- インテリジェンス / データソースのインポートが正常に実行されると、該当のソーステーブルにレコードが作成されます。
- データがソーステーブルに取り込まれると、データはフィルターロジックを経て、構成済みの受信フィルタリングルールに基づいてレコードをフィルタリングする必要があるか検証されます。(SourceRecord1 をソースレコードとして説明します)。
- 構成済みの受信フィルタリングルールによってレコードがフィルタリングされた場合、該当のソースレコード (SourceRecord1) は「フィルタリング済み」としてマークされ、レコードをフィルタリングしたルールは [適用されたフィルタールール] で確認することができます。
- ソースレコード (SourceRecord1) が AggregateRecord1 に集計されると仮定します。
- レコードがフィルタリングされていない場合、処理ステータスを [重複排除の準備が完了] に設定すると、レコードに重複排除のマークが付けられます。
- 重複排除ロジックでは、以下が検証されます。
- 受信ソースレコード (SourceRecord1) が AggregateRecord1 の既存ソースレコードと重複しているか。
- AggregateRecord1 の既存ソースレコードのいずれかが、受信ソースレコード (SourceRecord1)と重複しています。
- 各エンティティは、ソースレコードの重複検証に基づく固有のフィールドや関連性を有しています。
- 受信ソースレコード (SourceRecord1) が AggregateRecord1 の既存ソースレコードと重複している場合、受信ソースレコード (SourceRecord1) は重複としてマークされます。
- AggregateRecord1 の既存ソースレコード (既存ソース Record1) のいずれかが受信ソースレコード (SourceRecord1) と重複していると識別された場合、処理ステータスを [集計の準備が完了] に設定しておくと、既存ソースレコード (既存ソース Record1) は「重複」としてマークされ、受信ソースレコード (SourceRecord1) は「集計対象」としてマークされます。
- 集計の一環として、集計レコード「AggregateRecord1」のフィールドは、複数のソースレコードの値に基づいて更新され、システムで定義されている事前定義の基準に従って集計されます。