コンテンツへスキップ
ホーム » IBM QRadar SIEM・SOAR と Criminal IP 脅威インテリジェンスの連携

IBM QRadar SIEM・SOAR と Criminal IP 脅威インテリジェンスの連携

IBM のセキュリティ分析プラットフォームである IBM QRadar 環境に、サイバー脅威インテリジェンスプラットフォーム Criminal IP が連携されました。

IBM QRadar は、グローバル企業や公共機関を中心に広く利用されている SIEM および SOAR プラットフォームであり、大規模なログ収集、イベント相関分析、自動化されたインシデント対応を通じて、セキュリティ運用の中核を担っています。今回の連携により、QRadar 環境内で Criminal IP の脅威インテリジェンスを直接活用できる製品間統合が実現しました。

これにより、QRadar の利用者は、別途外部ツールやコンソールを切り替えることなく、IP ベースの外部脅威インテリジェンスを検知・調査・対応の全プロセスにおいて自然に適用することが可能となります。

QRadar SIEM におけるリアルタイム IP 脅威可視性の確保

QRadar Log Activity 画面から Criminal IP の IP レポートを直接照会している様子

Criminal IP のデータは IBM QRadar SIEM に統合されており、ファイアウォールのトラフィックログを基に、リアルタイムのダッシュボードを中心とした脅威可視性を提供します。

Fortinet や パロアルトネットワークス などのネットワークセキュリティ機器からのファイアウォールログを QRadar SIEM に送信すると、収集されたトラフィックログは Criminal IP API を通じて準リアルタイムで分析されます。
この過程において、IP アドレスの特性、過去の悪性行為履歴、回避インフラの利用有無などの外部脅威インテリジェンスが併せて適用されます。

QRadar 内の Criminal IP ダッシュボード

分析結果は QRadar 内の Criminal IP ダッシュボードに直接反映され、トラフィックは脅威インテリジェンスの観点から High、Medium、Low のリスクレベルに自動分類されます。
これにより、セキュリティ担当者はインバウンドおよびアウトバウンドのトラフィックフローを視覚的に把握し、高リスクの IP アドレスを迅速に特定して、アクセス遮断や追加調査といった対応を優先的に実施できます。

Criminal IP の詳細 IP レポート

また、QRadar の Log Activity 画面や Criminal IP ダッシュボード上で IP アドレスを右クリックすることで、Criminal IP の詳細 IP レポートへ即座に遷移でき、QRadar 環境から離れることなく、より深い脅威分析を行うことが可能です。

🔗 QRadar SIEM 連携アプリ
https://apps.xforce.ibmcloud.com/extension/5cac70bff4767157ac0602606dd6453

QRadar SOARへ拡張される自動化対応

QRadar SOAR で IP やドメインを検索すると、Criminal IP の脅威インテリジェンス結果が表示される画面

Criminal IP は IBM QRadar SOAR とも連携しており、インシデント対応フェーズにおける自動的な脅威インテリジェンスのエンリッチメント(Threat Enrichment)を支援します。

事前に構成されたプレイブックを通じて、SOAR ケース内で IP アドレスや URL のアーティファクトが生成されると、QRadar SOAR は該当する Criminal IP のプレイブックを自動実行し、脅威インテリジェンスデータを収集します。
分析結果は、アーティファクトヒットまたはインシデントノートの形式で返却され、分析担当者が対応判断を行うために必要なコンテキストを即座に提供します。

今回の連携には、以下の 2 種類のプレイブックが含まれています。

  • Criminal IP: IP Threat Service は IP アドレスアーティファクトに対する脅威情報を自動的に補強します。
  • Criminal IP: URL Threat Service は Lite または Full の URL スキャンを実行し、その結果を SOAR ケースに反映します。

これにより、セキュリティ担当者は繰り返し発生する手動での確認作業を削減し、より迅速かつ一貫性のあるインシデント対応プロセスを運用することが可能になります。

🔗 QRadar SOAR 連携アプリ
https://apps.xforce.ibmcloud.com/extension/a8549f6c6fee6ef7935b944e09c75691

インテリジェンス主導型 SOC 運用の高度化

IBM QRadar SIEM・SOAR と Criminal IP の統合により、利用者は QRadar が備える検知・調査・対応機能を、Criminal IP が提供するコンテキスト重視の外部脅威インテリジェンスと組み合わせて活用することができます。
本統合は、グローバル企業や公共機関を含む QRadar 利用者が、大規模なログ環境においても実際に対応が必要な脅威をより明確に識別し、セキュリティ運用全体における意思決定の精度とスピードを高めることを目的としています。

特に、SIEM および SOAR のワークフロー全体にわたって脅威分析が自動化されることで、セキュリティチームはアラートの量に振り回されることなく、組織に実質的な影響を及ぼす可能性のある脅威に集中することが可能となります。
Criminal IP は今後も、グローバルなセキュリティプラットフォームとの技術連携を継続的に拡大し、脅威インテリジェンスがセキュリティ運用の現場で実効的に活用されるよう支援していく予定です。

コメントを残す

Criminal IP(クリミナルアイピー)をもっと見る

今すぐ購読し、続きを読んで、すべてのアーカイブにアクセスしましょう。

続きを読む