外部脅威フィードの概要
外部の脅威フィード(ETF)フレームワークは、電子メールゲートウェイで、TAXII プロトコルで通信される STIX 形式の外部脅威情報を使用することを可能にします。
電子メールゲートウェイで外部脅威情報を使用する機能によって、組織は以下が可能です。
-
マルウェア、ランサムウェア、フィッシング攻撃、標的型攻撃などのサイバー脅威にプロアクティブに対応する。
-
ローカルおよびサードパーティの脅威インテリジェンス ソースに登録する。
-
電子メールゲートウェイの有効性を向上する。
電子メールゲートウェイで ETF 機能を使用するには、有効な機能キーが必要です。機能キーの入手方法の詳細は、シスコの販売担当者にお問い合わせください。
STIX(構造化された脅威情報表現)は、サイバー脅威情報を表す業界標準の構造化言語です。STIX ソースは、悪意のある、または疑わしいサイバー アクティビティを検出するために使用されるパターンを含むインジケータで構成されています。
以下は、本リリースでサポートされる STIX 侵害インジケータ(IOC)のリストです。
-
ファイル ハッシュ ウォッチリスト(疑わしい、悪意のあるファイルの一連のハッシュを説明)
-
IP ウォッチリスト(疑わしい、悪意のある一連の IP アドレスを説明)
-
ドメイン ウォッチリスト(疑わしい、悪意のある一連のドメインを説明)
-
URL ウォッチリスト(疑わしい、悪意のある一連の URL を説明)
TAXII(検知指標情報自動交換手順)は、異なる組織または製品ラインにかけて、サービス(TAXII サーバ)によってサイバー脅威情報を交換するための一連の仕様を定義します。
本リリースでは、STIX 1.1.1 および 1.2 と TAXII 1.1 の STIX/TAXII バージョンがサポートされています。