RainForest、OpenCTI向けに「Senda-Nexus」専用データ連携コネクターを開発

観測データに基づくサイバー脅威インテリジェンス
OpenCTI上で活用可能に

株式会社RainForest（本社：東京都杉並区、代表取締役：岡田 晃市郎）は、自社が提供するサイバー脅威インテリジェンスサービス「Senda-Nexus」のデータを、オープンソースの脅威インテリジェンス基盤OpenCTIに自動連携する専用コネクターを開発したことをお知らせします。

本コネクターの開発により、Darknet観測やハニーポットによる実データに基づく脅威情報を、OpenCTI上へ継続的に取り込み、他の脅威インテリジェンスとの相関分析・可視化・分析業務の高度化が可能となります。

開発の背景 〜脅威インテリジェンス運用の中核となるOpenCTI〜

OpenCTIは、世界中の SOC（Security Operation Center）やCSIRT において活用されている、オープンソースの脅威インテリジェンス・プラットフォームです。複数の脅威データソースを統合し、分析・可視化・相関分析を行うための中核基盤として広く利用されています。

一方、RainForestが提供するSenda-Nexusは、

• 情報通信研究機構（NICT）が観測する Darknetトラフィック情報
• 自社で構築・運用する ハニーポットによる攻撃挙動観測データ

を組み合わせることで、実際に観測された攻撃活動に基づく、実践的なサイバー脅威インテリジェンスを提供しています。これらの高精度な観測データを、OpenCTIを利用する分析基盤上で他の脅威情報と横断的に活用できる環境が不可欠であると考え、今回 Senda-Nexus専用のOpenCTIコネクター を開発しました。

Senda-Nexus OpenCTIコネクターの概要

本コネクターは、OpenCTIが提供する Import Connector の仕組みを利用して実装されています。Docker / Docker Compose環境で稼働するOpenCTIに対して、容易に組み込み可能であり、既存のOpenCTI環境を大きく変更することなく、Senda-Nexusの脅威データを自動的に取り込むことができます。

• Docker Hub
  https://hub.docker.com/repository/docker/rainforestdevelop/opencti-connector-senda-nexus/general

主な特徴

1. Senda-Nexus脅威データの自動取り込み

Senda-Nexusが提供する以下の情報を、定期的にOpenCTIへ自動投入します。

2. OpenCTIネイティブなデータ構造に対応

取り込まれたデータは、STIXに準拠した形でOpenCTIに登録され、

として管理されます。これにより、MITRE ATT&CK や OTX、MISP などの外部脅威インテリジェンスとの 横断的な相関分析 が可能となります。

3. SOC／CSIRTの実運用を意識した設計

本コネクターは、現場での実運用を重視し、

を前提とした構成で設計されています。

想定される活用シーン

今後の展開

RainForestでは今後、Senda-Nexus OpenCTIコネクターの機能拡張や、他の脅威インテリジェンス基盤との連携強化を進めることで、観測データを活用した 実践的かつ高度なサイバー防御の実現 を支援していく予定です。

会社概要

記事要約（Summary）

• RainForestは、Senda-Nexusの脅威データをOpenCTIへ自動連携する専用コネクターを開発
• Darknetやハニーポットによる観測データを、STIX準拠でOpenCTIに統合可能
• SOC／CSIRTにおける脅威分析・相関分析・自動対応の高度化を支援
• 今後も脅威インテリジェンス連携を拡張し、実践的なサイバー防御を推進

■プレスリリース配信元-株式会社レインフォレスト
https://companydata.tsujigawa.com/company/1011301024198/