ストアでアプリを要求する

ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。

MISP の概要

MISP は Malware Information Sharing Platform の略で、信頼できるメンバーのコミュニティ内で、標的型マルウェアや攻撃に関する脅威インテリジェンスやセキュリティ侵害のインジケーター (IoC) を交換および共有できます。プライベートなコミュニティやオープンなコミュニティと MISP 情報を共有することもできます。MISP 情報を交換することで、標的型攻撃をより迅速に調査し、検出率を向上させ、自分の環境における誤検出数を減らすことができます。

MISP および Security Operations

MISP 情報が SecOps アプリケーションにどう流れていくかは、以下の例を参照してください。

主な機能

主要な概念

• MISP は、脅威インテリジェンスプラットフォーム (TIP) です。TIP を使用して、セキュリティの脅威データをリアルタイムでコレクション、関連付け、共有、および統合して、アクションの優先順位付けをサポートし、攻撃の防止、検出、および応答を支援します。
• MISP は、脅威インテリジェンス管理 (TIM) です。TIM を使用して、コンテキストを通じて脅威データを脅威インテリジェンスに変換し、ユーザー定義のスコアリングと関連性に基づいて脅威に自動的に優先順位を付けることができます。
• MISP データレイヤー
  • イベントは、コンテキストにリンクされた情報をカプセル化したものです。
  • 属性は個々のデータポイントであり、インジケーターまたはサポートデータになります。
  • オブジェクトは、カスタムテンプレートの属性構成です。
  • オブジェクト参照は、他の構成要素の間の関係です。
  • サイティングは、検出されたデータポイントに時間指定で発生するものです。
• MISP コンテキストレイヤー
  • タグは、イベントまたは属性に付けられるラベルであり、分類に由来する場合もあります。
  • ギャラクシークラスターは、ギャラクシーに由来するイベントや属性にラベルを付けるために使用できるナレッジベースアイテムです。
  • クラスター関係とは、クラスター間の事前定義された関係を示します。
• インジケーターには、疑わしい、または悪意のあるサイバーアクティビティの検出に使用できるパターンが含まれています。
• MISP の属性は、ネットワークインジケーター (IP アドレス)、システムインジケーター (メモリ内の文字列)、または銀行口座の詳細などです。MISP の属性は、他の SIEM や STIX などの形式では観測事象と呼ばれています。
  • タイプは属性を説明するものです。たとえば、MD5 や URL などです。
  • 属性カテゴリは属性を説明するものです。たとえば、ペイロード配信などです。
  • IDS タグは、属性が自動的に検出に使用できるかどうかを決定します。

MISP integration for Security Operations を利用する組織のメリット

セキュリティアナリストは、脅威の状況認識を深め、維持する必要があります。つまり、膨大な量の脅威データを手作業で集約、統合しなければなりません。このようなデータのコレクション、集約、統合には貴重な時間を要するため、脅威の検出や分析が遅れることになります。MISP integration for Security Operations を使用すると、アナリストは MISP セキュリティインテリジェンスを既存の Now Platform インスタンスに統合することで、より多くの脅威を検出し、より迅速に対応できます。

MISP integration for Security Operations を使用すると、組織は次のアクションを実行できます。

• セキュリティアナリストが適切なコンテキストを用いて迅速に対応できるようにします。
• 脅威を検出して封じ込めるためのインシデントフローを自動化することで、セキュリティチームの効率を向上させます。
• 手作業による調査時間を短縮し、セキュリティアナリストが Now Platform 内からインジケーターの運用とキュレーションを行えるようにします。

この統合の詳細