RainForestがOpenCTI用のデータ連携コネクターを開発しサイバー防御を強化

RainForestがOpenCTI用データ連携コネクターを開発

株式会社RainForest（本社：東京都杉並区、代表取締役：岡田晃市郎）は、2023年10月、新たにサイバー脅威インテリジェンスサービス「Senda-Nexus」のデータをオープンソースの脅威インテリジェンス基盤OpenCTIに自動連携する専用コネクターを開発したことを発表しました。このコネクターを利用することで、Senda-Nexusが提供する観測に基づく脅威情報をOpenCTI上で継続的に取り込むことができ、他の脅威インテリジェンスとの相関分析や可視化が可能になります。

背景と必要性

OpenCTIは、世界中のSOC（セキュリティオペレーションセンター）やCSIRT（コンピュータセキュリティインシデント対応チーム）が幅広く利用しているオープンソースのサイバー脅威インテリジェンス・プラットフォームです。このプラットフォームは、多様な脅威データを統合し、分析・可視化を行うための基盤として機能しています。これに対して、RainForestが提供するSenda-Nexusは、情報通信研究機構（NICT）が観測するDarknetトラフィック情報と、独自に構築・運用しているハニーポットから得られる挙動観測データを組み合わせることで、実際に観測された攻撃活動に基づく実践的なサイバー脅威インテリジェンスを提供しています。

RainForestは、観測された脅威情報をOpenCTIを通じて別の脅威情報と相互に分析できる環境が不可欠であると判断し、このコネクターを開発しました。これにより、Senda-Nexusの脅威データをSTIX（Structured Threat Information Expression）に準拠した形で自動的に取り込み、継続的な分析・運用ができるようになります。

コネクターの仕様

新たに開発されたSenda-Nexus OpenCTIコネクターは、OpenCTIが提供するImport Connectorの仕組みを使用して実装されています。これにより、Docker/Docker Compose環境で運用されているOpenCTIに容易に組み込むことができ、既存の環境に対して大きな変更を加えることなく自動的にデータを取り込むことが可能です。

このコネクターは以下の主な特徴を持っています。

1. データの自動取り込み: Senda-Nexusが提供するブラックリストIP情報やDarknet、ハニーポット由来の観測IP、攻撃活動に関連するメタ情報、関連ラベルおよびオブジェクト間の関係性（Relationships）を定期的にOpenCTIへ自動投入します。

2. OpenCTIネイティブなデータ構造: 取り込まれたデータはOpenCTIの仕様に基づいて登録され、MITRE ATT&CKや他の外部脅威インテリジェンスと横断的な相関分析が可能になります。

3. 実運用を意識した設計: SOCやCSIRTにおける実運用を想定し、定期的な自動更新、キューイングを用いた安定したデータ投入、OpenCTIワーカーとの連携を考慮した設計となっています。