SOAR(Security Orchestration, Automation and Response、ソア)フラットホームのLogpressoCriminal IPが統合されました。Criminal IPで提供するAPIを通じてLogpressoのダッシュボードでCriminal IP攻撃対象領域管理を行うことができるようになり、 攻撃対象領域 にさらされたIT資産の自動モニタリングとVPN、Tor、Proxy IPの可否をご確認できます。

Criminal IP攻撃対象領域管理を支援するプラットホーム

  • Logpresso Standard
  • Logpresso Enterprise
  • Logpresso Sonar
  • Logpresso Maestro

LogpressoでCriminal IPを設置する方

  1. Criminal IPページで右上のメニューをクリックし、マイ情報ページへ移ると、APIキーをコピーできます。
    Criminal IPでAPIキーをコピーする

    Criminal IPでAPIキーをコピーする

     

  2. LogpressoでCriminal IPアプリをダウンロードおよび開始し、System SettingsのConnect ProfileにコピーしたAPIキーとアカウントおよびセキュリティグループの権限、その他の内容を設定します。その時、Criminal IPのフィルターリストを参考にして通常モニタリングの対象を設定できます。

    Criminal IPアプリを開始し、Connect Profileを設定する

    Criminal IPアプリを開始し、Connect Profileを設定する

  3. 設定が完了されたらLogpressoのダッシュボードで資産の検索クエリー設定による攻撃対象領域をリアルタイムでモニタリングできます。
    LogpressoでCriminal IPの 攻撃対象領域 管理を実行したダッシュボード

    LogpressoでCriminal IPの攻撃対象領域管理を実行したダッシュボード

     

LogpressoのCriminal IP攻撃対象領域管理(ASM)で提供する統計データとクエリーコマンド

Criminal IPの攻撃対象領域管理はリアルタイムモニタリングと共に攻撃が入れそうな全ての経路の有意味な統計を提供します。国、ASN、サービス、製品、ポートの統計および検知されたIT資産の現況を見せます。各クエリーコマンドをConnect Profileの資産検索クエリーで設定すると、その内容を中心に攻撃対象領域をモニタリングします。

Country Statistics:検知されたIT資産の国の統計を表します。

  • criminal-ip-asset-country-stats

ASN Statistics:検知されたIT資産の通信ネットワークの統計を表します。

  • criminal-ip-asset-asn-stats

Service Statistics:検知されたIT資産のサービスの統計を表します。

  • criminal-ip-asset-service-stats

Product Statistics:検知されたIT資産の製品の統計を表します。

  • criminal-ip-asset-product-stats

Port Statistics:検知されたIT資産のポートの統計を表します。

  • criminal-ip-asset-port-stats

Assets:検知されたIT資産のリストを表します。

  • criminal-ip-asset-search | limit 100

その他にもファビコン統計、IPの要約情報、特定IPに関するVPN診断履歴、指定されたIPに関するVPN情報、サービス状態情報などを照会できるコマンドが提供されます。

  • Favicon Statistics:criminal-ip-asset-favicon-stats
  • IP Summary:criminal-ip-get-ip-summary
  • 特定IPに関するVPN診断履歴:criminal-ip-get-vpn-reports
  • 指定されたIPに関するVPN情報:criminal-ip-get-vpn-summary
  • サービス状態情報:criminal-ip-status

Criminal IP攻撃対象領域管理( ASM )が必要な理由

最近、企業で最も脅威的な攻撃経路とは、ソフトウェア資産の脆弱性とリモートサービスです。このような潜在的な脅威を事前に対応するために、攻撃を受けられそうなところを常にモニタリングする攻撃対象領域管理(ASM)が重要です。Criminal IPは世界中の全てのIPアドレス情報を集め、その中で特定企業のIT資産とデバイスを分類し、現況を分析し、セキュリティ問題を自動で把握する機能を提供しております。益々多様化され、増加し続けている攻撃対象領域の手動管理は制限されたコスト、時間、人材で行うには難しくなっています。しかし、Logpressoは別のデバイスやソフトウェアを設置する手間がなく、高いアクセシビリティとユーザーフレンドリーなダッシュボードを提供するため、Logpressoとの統合でCriminal IPの攻撃対象領域管理機能をより効果的に提供することを期待しております。LogpressoのCriminal IPアプリでオープンポート、クラウドサーバーの放置を含む外部に漏洩されたIT資産の現況と潜在的な攻撃脅威をリアルタイムで検知してみてください。

 

放置された資産および脆弱性までの攻撃対象領域管理(ASM)が重要な理由と活用ケースに関する内容は”攻撃対象領域管理:未知の資産及び脆弱性の検知“をご参照ください。また、Criminal IPの脅威インテリジェンスデータを攻撃対象領域管理に活用する、より詳しい内容とケースにご興味がある方は、無料デモビデオの申し込みで実際の資産の攻撃対象領域をモニタリングしていただけます。

ご参照:https://blog.criminalip.io/ja/2022/08/16/%e6%94%bb%e6%92%83%e5%af%be%e8%b1%a1%e9%a0%98%e5%9f%9f%e7%ae%a1%e7%90%86/