Rainforest 株式会社在运用国立研究开发法人情报通信研究机构(NICT)观测数据与自主开发诱捕系统观测数据的纯日本国产 IP 威胁情资「Senda-Nexus」中,除了强化 OpenCTI 串接外,更着眼于 AI for Security 的应用,强化了基于 MCP(模型上下文协定)的数据集成。 Senda-Nexus 是一个将暗网(Darknet)观测数据与诱捕系统观测数据进行比对,为 IP 地址赋予观测来源及行为上下文的情资平台。通过此次的升级,Senda-Nexus 的观测结果可以作为 Feed 与 Enrichment 串接至 OpenCTI 上的现有 IoC 与 Observable,让用户能基于国内观测数据与独家观测数据,进行针对实际营运的威胁分析。此外,系统架构更扩充至可通过 MCP 让 AI 代理直接访问 Senda-Nexus 的观测数据,支持从威胁调查、分析到生成报告的完整流程。 关于 Senda-Nexus Senda-Nexus 结合了 NICT 观测数据与自主开发诱捕系统的观测结果,是一个用于将 IP 地址的威胁上下文可视化并加以运用的情资平台。其特点不仅在于累积单一的 IoC 信息,还能横跨多个观测来源掌握出现状况与相关行为。借由关联分析暗网上的 TCP SYN 扫描行为、高速扫描与串行观测、与 Mirai 类型行为的关联,以及自主开发诱捕系统中的观测状况,为目标 IP 提供更具体的判断依据。 https://nexus.senda-lab.jp/ Senda-Nexus 的特点 - 运用 NICT 观测数据与自主开发诱捕系统的观测结果 - 通过比对多个观测来源,提供附带上下文的 IP 评估 - 提供暗网观测与诱捕系统观测的可视化 UI - 支持针对 OpenCTI 的 Feed / Enrichment 串接 - 借由为外部 IoC 添加上下文,支持实际营运 - 支持针对 AI 代理的 MCP 串接 - 支持多重代理(Multi-agent)进行调查、分析与生成报告 这不仅能确认从外部取得的 IoC,还能实现基于国内观测数据与独家观测数据的深入分析。此外,更支持包含运用 AI 进行威胁分类、自动调查及制作报告等次世代的营运支持。 关于可视化 UI 在 Senda-Nexus 的 Web UI 中,可将暗网观测与诱捕系统的观测结果,连同地理信息、ASN 信息与时间串行趋势一并可视化。这让分析人员不仅能评估单一 IP 地址,还能掌握持续出现的趋势以及网络层级的偏差。不局限於单次指针的确认,而是能进行基于持续观测的趋势分析,这也是 Senda-Nexus 的特色之一。 此外,Senda-Nexus 的架构预想不仅是让人员在画面上进行确认,同时也能让 AI 代理通过 MCP 访问相同的观测数据。这将可视化画面上的掌握与 AI 的自动分析、自动报告相互结合,更迅速且有效率地支持分析人员的判断。 诱捕系统中观测到的 Black IP 信息 诱捕系统访问的即时监控 (Live Monitor) 关于 OpenCTI 串接 在这次的 OpenCTI 串接中,能以 Feed 与 Enrichment 两种形式使用 Senda-Nexus 的信息。 可将 Senda-Nexus 拥有的 IP 威胁信息持续导入 OpenCTI,并集成至现有的威胁情资平台中。根据 Senda-Nexus 的观测结果,为 OpenCTI 上的现有 IPv4-Addr 添加补充信息,让用户更容易掌握目标 IP 是在哪个观测系统中被确认,以及与哪些行为相关。在原始发布中说明了,除了在自家诱捕系统中的观测情况、暗网上的 TCP SYN 观测情况、高速扫描观测情况、Mirai 类型观测情况外,还能加上产品名称、通信端口、路径、指令、观测件数、国家、ASN 等补充属性。 借此,即使是对于从 AlienVault OTX 等外部来源导入的 IoC,Senda-Nexus 也能...