外部脅威フィードの概要
外部の脅威フィード(ETF)フレームワークによって、電子メールゲートウェイは次の外部脅威情報を使用できます。
-
TAXII プロトコルで通信される STIX 形式。
-
Cisco SecureX Threat Response ポータルからの JavaScript Object Notation(JSON)形式。
電子メールゲートウェイで外部脅威情報を使用する機能によって、組織は以下が可能です。
-
マルウェア、ランサムウェア、フィッシング攻撃、標的型攻撃などのサイバー脅威にプロアクティブに対応する。
-
ローカルおよびサードパーティの脅威インテリジェンス ソースに登録する。
-
電子メールゲートウェイの有効性を向上する。
電子メールゲートウェイで ETF 機能を使用するには、有効な機能キーが必要です。機能キーの入手方法の詳細は、シスコの販売担当者にお問い合わせください。
STIX(構造化された脅威情報表現)は、サイバー脅威情報を表す業界標準の構造化言語です。STIX ソースは、悪意のある、または疑わしいサイバー アクティビティを検出するために使用されるパターンを含むインジケータで構成されています。
TAXII(検知指標情報自動交換手順)は、異なる組織または製品ラインにかけて、サービス(TAXII サーバ)によってサイバー脅威情報を交換するための一連の仕様を定義します。
本リリースでは、STIX 1.1.1 および 1.2 と TAXII 1.1 の STIX/TAXII バージョンがサポートされています。
Cisco SecureX Threat Response ポータルでは、監視対象を継続的に収集するためのカスタムフィードを作成し、フィード URL を使用して電子メールゲートウェイでそれらを利用できます。フィードは、JSON 形式の監視対象の単純なリストです。フィードは、SecureX Threat Response ポータルの [インテリジェンス(Intelligence)] > [フィード(Feeds)] ページで作成および管理されます。
以下は、本リリースでサポートされる STIX および SecureX Threat Response のセキュリティ侵害の指標(IOC)のリストです。
-
ファイル ハッシュ ウォッチリスト(疑わしい、悪意のあるファイルの一連のハッシュを説明)
-
IP ウォッチリスト(疑わしい、悪意のある一連の IP アドレスを説明)
-
ドメイン ウォッチリスト(疑わしい、悪意のある一連のドメインを説明)
-
URL ウォッチリスト(疑わしい、悪意のある一連の URL を説明)