指標レポート

インジケーター・レポートでは、侵害指標に関する詳細情報を提供します。

危殆化指標は、セキュリティー・インシデントから記録または収集されたデジタル証拠であり、侵入や問題に関する情報を提供するために使用できるものです。

危殆化指標は、調査の最初の具体的なターゲットとなります。 さまざまな脅威インテリジェンス・フィードで、地域、事業部門、またはセキュリティー要件に応じて異なる指標が使用される場合があります。 IBM Security QRadar® Suite Software 以下の指標を使用しています。

• アプリケーション

  Web アプリケーションの情報には、リスク・スコア、カテゴリー、関連アクション、基本 URL、およびリスクが含まれます。 また、脆弱性、ホスティング URL、ホスティング IP など、そのアプリケーションに関連する情報も含まれます。

• ボットネット

  これらの IP アドレスを使用するデバイスは感染しており、DoS 攻撃、ポート・スキャン、スパム送信などの迷惑な侵害行為に加担します。

• IP アドレス

  IP レポートには、IPv4 アドレスと IPv6IP アドレスの両方について、リスク・スコアとロケーション、カテゴリー化情報、履歴の内容、WHOIS、パッシブ DNS (ドメイン・ネーム・サーバー) 情報が X-Force® から提供されます。

• マルウェア・ファイルの MD5 ハッシュ

  MD5 ハッシュはファイルのチェックサムとも呼ばれ、ファイルの指紋のようなものです。 悪質なコードに対するホスト・ベースのインディケーターであり、ファイル・ハッシュのインディケーターと、それが示すマルウェアの断片の名前とタイプで構成されます。

• URL

  X-Force は、リスク・スコア、75 個あるカテゴリーのいずれかへの区分、WHOIS、パッシブ DNS (ドメイン・ネーム・サーバー) 情報といった URL 情報を収集します。

• 署名

  使用可能なセキュリティー情報には、監査イベントをカテゴリー化する特定のネットワーク署名が含まれます。

• 脆弱性

  脆弱性情報は、一般ユーザーが入手できる業界最古の脆弱性データベースの 1 つである X-Force データベースを情報源としています。 このデータベースには、現在 88,000 件を超える脆弱性が保持されています。 X-Force は、あらゆる脆弱性に関連する標準的な評価基準に加え、ネットワーク・セキュリティの観点からIBMのカバー範囲情報、および脆弱性に関連する外部リファレンスを提供します。

脆弱性は、CVE (共通の脆弱性および機密漏れ) 番号によって示されます。

IP および URL のリスク・スコアを判別するために、X-Force Exchange は、2 つのデータ・エレメント (収集された証明情報の量と証明情報のタイムライン) に依存します。 分析エンジンがこれらのデータを処理し、リスク・スコアを判定します。

リスク・スコアは 1 から 10 のレベルで評価します。1 はリスクなし、10 は最高レベルのリスクを示します。 ロケーションは地域レベルで提供します。 ヒストリカル・コンテキストは、更新時にその IP に関連していたデータベース内の以前の項目を示します。

リスク・スコアは、世界規模のインターネット・スキャンやスパム・コレクションなど、IBM が入手可能な脅威情報を処理することで生成した、正規化された値です。 このスコアは、当該 IP の潜在的な悪意とリスクを大まかなレベルで反映しています。 例えば、大量のスパムを頻繁に送信していることが識別された IP のリスク・スコアは高くなります。 このスコアは、その IP がスパム出力の量または頻度においてアクティブではなくなるにつれ、次第に小さくなります。