概要
ExaforceはAbuseIPDBを統合して、あらゆる検出と調査に重要なネットワークインテリジェンスを追加します。このプラットフォームは、レピュテーションスコア、悪用レポート、位置情報、自律システムの詳細、インフラストラクチャタイプなどで IP アドレスを強化し、そのコンテキストを使用して脅威の優先順位付け、ノイズの抑制、トリアージの迅速化を行います。セキュリティチームは、IP が既知の不正攻撃者、Tor 出口ノード、VPN エンドポイント、クリーンなインフラストラクチャのいずれであるかを即座に把握できるため、当て推量が不要になり、無害なアラートに費やす時間を短縮できます。
仕組み
Exaforceは、電子メール、エンドポイント、クラウドソースからイベントが届くと、リアルタイムでAbuseIPDBに問い合わせます。サインイン試行、フィッシングメール、またはクラウドAPI呼び出しで疑わしいIPが見つかると、Exaforceはその不正使用信頼度スコア、最近の報告履歴、国と都市の場所、ホスティングプロバイダー、およびインフラストラクチャの分類を取得します。このプラットフォームは、Torノード、商用VPN、匿名化サービスからの接続に自動的にフラグを立て、そのデータをユーザーの行動やアプリケーションアクセスパターンと相関させて、そのアクティビティが正当なものか悪意のあるものかを判断します。この情報は検出、調査タイムライン、トリアージのワークフローに直接流れ、アナリストはプラットフォームを離れることなく必要なコンテキストを得ることができます。
コア機能
Exaforceは、ネットワークベースの検出とエンリッチメントの基盤として悪用IPDBデータを使用します。すべてのソース IP の評判、不正使用履歴、インフラストラクチャタイプをチェックし、その情報をメールセキュリティ、ID アクセスの監視、エンドポイント接続、クラウドコンソールのアクティビティに適用します。このプラットフォームは、悪用頻度の高いIPからのサインイン、既知の悪意のあるインフラストラクチャを介したメール中継、Tor出口ノードからのクラウドAPIアクセス、ポリシーに違反するVPNサービスへのエンドポイント接続などのパターンを検出します。Exaforce は、すべてのテレメトリソースにわたって IPDB の悪用インテリジェンスを標準化することで、手動による検索の必要性をなくし、すべてのアナリストが同じ信頼性の高いコンテキストを利用できるようにします。
強化された脅威の例
Exaforceは、何百もの悪用報告があるIPからのクレデンシャルスタッフィングの試みを頻繁に検出し、内部システムに到達する前に攻撃を阻止します。このプラットフォームは、メール送信者のIPをAbuseIPDB内の最近のスパムやマルウェアの報告と関連付けることでフィッシングキャンペーンを識別し、それらのメールを標的とするユーザーや部署にリンクします。ユーザーがTor出口ノードまたは商用VPNからサインインすると、Exaforceは異常が通常の動作から逸脱している場合はフラグを立てます。匿名化されたインフラストラクチャーからクラウドコンソールにアクセスすると、不正利用スコア、ホスティングプロバイダー、および関連レポートを含む調査ワークフローがトリガーされ、チームはセッションが許可されたリモートワークかアカウント侵害かを即座に把握できるようになります。
トリアージと誤検出の削減
悪用されたIPDBレピュテーションデータは、Exaforceが無害なアクティビティと実際の脅威を区別するのに役立ちます。不正使用履歴がなく、位置情報が予測されるクリーンな IP からのサインインは、最近ボットネットが報告された信頼性の高い悪意のある IP からのサインインよりも緊急性が低くなります。悪用スコアが低く、正規のホスティングプロバイダーである送信者 IP からのメールは、スパムキャンペーンに関連するインフラストラクチャからのメールよりも優先度が低くなります。このような状況に応じたトリアージにより、アラートによる負担が軽減され、アナリストは重要な調査結果に集中できるようになります。一方、リスクの低いイベントはコンプライアンスや監査のために自動的に文書化されます。
メリット
リアルタイムのIPエンリッチメントにより、手動での検索が不要になり、コンテキストが即座に提供されるため、調査が加速されます。インフラストラクチャーの分類により、悪意のある意図を示す匿名化と回避戦略が明らかになります。不正使用履歴と信頼度スコアによって検出精度が向上し、誤検出が減少します。電子メール、ID、エンドポイント、クラウドソースを相互に関連付けることで、ネットワークベースの脅威を一元的に把握できます。