株式会社 RainForest(本社:東京都杉並区、代表取締役:岡田 晃市郎)は、自社が提供するサイバー脅威インテリジェンスサービス 「Senda-Nexus」 のデータを、オープンソースの脅威インテリジェンス基盤 OpenCTI に自動連携する専用コネクターを開発したことを発表します。
本コネクターにより、Senda-Nexus が提供する観測に基づく脅威情報を、OpenCTI 上で継続的に取り込み、他の脅威インテリジェンスとの相関分析や可視化を行うことが可能になります。
■ 開発の背景
OpenCTI は、世界中の SOC/CSIRT において利用されているオープンソースのサイバー脅威インテリジェンス・プラットフォームであり、多様な脅威データを統合し、分析・可視化を行うための中核的な基盤として活用されています。一方、RainForest が提供する Senda-Nexus は、情報通信研究機構(NICT)が観測する Darknet トラフィック情報と、自社で構築・運用するハニーポットによる挙動観測データを組み合わせることで、実際に観測された攻撃活動に基づく実践的なサイバー脅威インテリジェンスを提供しています。
RainForest では、これら観測された脅威情報を、OpenCTI を利用する分析基盤上で他の脅威情報と横断的に相関・分析できる環境が不可欠であると考えました。
そこで、Senda-Nexus が提供する脅威データをSTIXに準拠した形で自動的に取り込み、継続的な分析・運用を可能にするため、Senda-Nexus 専用の OpenCTI コネクターを開発しました。
■ Senda-Nexus OpenCTI コネクターの概要
本コネクターは、OpenCTI が提供するImport Connector の仕組みを利用して実装されています。Docker / Docker Compose 環境で稼働する OpenCTI に対して容易に組み込むことができ、既存の OpenCTI 環境を大きく変更することなくSenda-Nexus の脅威データを自動的に取り込むことが可能です。
Docker HUB:https://hub.docker.com/repository/docker/rainforestdevelop/opencti-connector-senda-nexus/general
■ 主な特徴
1. Senda-Nexus データの自動取り込みSenda-Nexus が提供する以下の情報を、定期的に OpenCTI へ自動投入します。
- ブラックリスト IP 情報
- Darknet およびハニーポット由来の観測 IP
- 攻撃活動に関するメタ情報
- 関連ラベルおよびオブジェクト間の関係性(Relationships)
2. OpenCTI ネイティブなデータ構造に対応
取り込まれたデータは OpenCTI の仕様に沿って、
- Observables(IP アドレス等)
- Indicators
- Relationships
- Labels
として登録され、MITRE ATT&CK や他の外部脅威インテリジェンス(OTX、MISP 等)との横断的な相関分析が可能です。
3. 実運用を意識した設計
本コネクターは、SOC/CSIRT における実運用を想定し、
- 定期実行による自動更新
- キューイングを用いた安定したデータ投入
- OpenCTI ワーカーとの連携によるスケーラブルな処理
を前提とした構成で設計されています。
■ 想定される活用シーン
- SOC/CSIRT における攻撃元 IP の可視化および分析- 観測データを軸とした脅威ハンティング
- 他インテリジェンスソースとの相関分析による検知精度向上
- SIEM/SOAR との連携による自動対応の強化
■ 今後の展開
RainForest では今後、Senda-Nexus OpenCTI コネクターの機能拡張や、他の脅威インテリジェンス基盤との連携強化を進めることで、観測データを活用した実践的なサイバー防御の高度化を支援していく予定です。■ 会社概要
株式会社 RainForest所在地:東京都杉並区成田西 2-8-10
代表者:代表取締役 岡田 晃市郎
事業内容:サイバー脅威インテリジェンスの研究開発、
セキュリティ関連ソフトウェアおよびデータサービスの提供
Web:https://www.rainforest-cs.jp/
Senda-Nexus:https://nexus.senda-lab.jp/
企業プレスリリース詳細へ
PRTIMESトップへ
