AI 驅動的威脅情報平台 Criminal IP 已開始與 OpenCTI 進行整合。 透過此次整合,OpenCTI 使用者將能夠直接在現有的 CTI 工作流程中利用 Criminal IP 的威脅情報,無需個別搜尋資訊。 本整合的特色在於,不僅能管理單一的 IOC,還能包含威脅的上下文分析,例如相關基礎設施資訊和風險資訊。這將有助於提高安全團隊調查和判斷的效率,並支援更實用的 CTI 營運。 ■ 威脅情報唯有具備「上下文」才具有價值 在網路威脅情報(CTI)中,單一指標往往不足以提供充分的判斷依據。透過 Criminal IP 與 OpenCTI 的整合,安全團隊能夠將 IP 位址、網域、URL 等個別指標,轉化為 OpenCTI 知識圖譜中結構化的實用情報。 本次整合將自動為指標附加 Criminal IP 的聲譽分數、基礎設施資訊、漏洞資料、行為訊號和網路釣魚分析結果。由於豐富化的資訊將以 OpenCTI 的實體和關係進行結構化,因此能更有效率地進行相關基礎設施的調查和高風險指標的優先排序。 ■ 主要整合功能 在 OpenCTI 中顯示 Criminal IP 對 IP 位址的豐富化結果,並可查看風險分數和行為指標的畫面 超越單純聲譽的上下文式風險評分 Criminal IP 從入站和出站兩個角度提供風險分數。這使得能夠從多個角度掌握特定 IP 位址如何成為攻擊目標,以及其對外部表現出的行為。與傳統的單一分數聲譽評估相比,它提供了更詳細的判斷依據,讓分析師更容易準確識別高風險基礎設施,並判斷哪些指標應優先處理。 Criminal IP 的 IP 情報將結構化為 OpenCTI 的實體,可橫跨指標、網路擁有者、地理資訊進行分析的畫面 圖形化呈現的高級基礎設施分析資訊 Criminal IP 的豐富化不僅僅是為指標附加標籤。它會與 OpenCTI 的實體和關係進行結構化,包括漏洞(CVE)、自治系統(ISP)和地理資訊等。這使得分析師能夠在圖形上橫跨基礎設施進行分析,掌握共同的構成要素和相關基礎設施。 公開服務與漏洞的關聯分析 透過將觀測到的服務資訊與已知的 CVE 關聯,本次整合提供了關於潛在攻擊面的即時洞察。分析師能夠快速評估目標 IP 是否不僅僅是惡意的,而且實際上處於可被利用的狀態,並可能被用於攻擊。 高精度的威脅標籤和行為訊號 自動生成的標籤反映了多個數據點,例如 VPN、代理伺服器、Tor 等匿名化技術、託管特性和惡意分類。這種多層次的標籤提供了比「惡意/正常」二分法更豐富的威脅上下文。 高級網域分析和網路釣魚偵測 對於網域,Criminal IP 會分析整個 URL,偵測網路釣魚活動、憑證竊取、可疑文件和仿冒手法等。此外,信任分數直接與網路釣魚的可能性相關聯,讓分析師能夠量化評估風險。 基礎設施映射和分析支援 本次整合將指標與網路擁有者(自治系統)、物理位置以及解析出的 IP 基礎設施相關聯。這使得安全團隊能夠掌握跨多個指標的託管趨勢、區域集中度和基礎設施模式。 ■ 整合機制 將 IP 位址、網域、URL 等指標導入 OpenCTI 的 Criminal IP 連接器會為每個指標自動附加聲譽分數、基礎設施資訊、漏洞資訊、行為訊號、網路釣魚分析結果 豐富化的數據將結構化為 OpenCTI 的實體和關係,可在知識圖譜中用於調查、關聯分析和威脅分析 ■ 主要使用案例 SOC 分級處理和警報驗證:利用雙重風險分數、基礎設施上下文和網路釣魚情報,快速驗證可疑 IP 位址或網域。分析師能夠優先處理高風險指標,提高警報回應的準確性和速度。 威脅狩獵和基礎設施樞紐分析:利用 CVE、自治系統、地理資訊等豐富化的關係資訊,橫跨相關基礎設施進行分析。更容易掌握攻擊者活動所使用的相關資產和共同的基礎設施配置。 網路釣魚和活動分析:透過識別和分析惡意網域、憑證竊取頁面及其支援的基礎設施,協助追蹤網路釣魚活動和掌握更廣泛的活動模式。 ■ 關於 OpenCTI Platform OpenCTI 是一個開源的網路威脅情報平台,旨在利用基於圖譜的模型來結構化、儲存和分析威脅數據。組織可以在整合的知識庫中關聯指標、漏洞、威脅行為者、活動等,並用於調查、協作和情報共享。 ■ 關於 Criminal IP Criminal IP 分析全球網際網路上的 IP 位址、網域和 URL,提供直接用於決策的網路威脅情報。它利用 AI 和 OSINT,支援聲譽評分、基礎設施可見性以及惡意活動的即時偵測,包括網路釣魚、公開服務以及 VPN 和代理伺服器等匿名化技術。其 API 優先的架構使其能夠輕鬆整合到現有的安全平台中,以提高可見性、自動化和響應能力。 ■ 詳細資訊 https://www.criminalip.io/ja/knowledge-hub/noti