概要
Google Threat Intelligenceでは、AIを活用した脅威インテリジェンス調査機能である「Agentic」が提供されています。
Agenticは、自然言語による指示をもとにGoogle Threat Intelligenceの脅威インテリジェンスデータを活用し、調査結果をまとめて提示する機能です。
本記事では、Agenticの特徴やAgenticを活用した脅威調査例についてご紹介します。
Agenticとは
Agenticは、Google Threat Intelligenceに搭載されたAIを活用した脅威インテリジェンス調査機能です。
大規模言語モデル(LLM)を基盤とし、Google Threat Intelligenceが保有する包括的なセキュリティデータセットを活用することで、脅威インテリジェンスの調査や分析を支援します。
ユーザーは自然言語で質問や調査内容を入力することで、脅威アクターやマルウェア、IoCなどに関する情報をまとめて確認できます。また、調査結果に対して追加の質問を行いながら、関連する脅威情報を深掘りすることも可能です。
(参考)出力イメージ
※画像をクリックすると全体を表示できます。
Agenticの特徴
1. 自然言語による対話型の脅威インテリジェンス調査
Agenticでは、自然言語で入力した内容をもとに脅威情報の調査や分析を行うことができます。また、調査結果に対して追加の質問を行いながら、関連する脅威情報を深掘りすることも可能です。
IoCや脅威アクター、マルウェア、脆弱性などの関連情報をまとめて確認できるため、調査を効率的に進めることができます。
さらに、脅威アクター分析や脆弱性の調査などの調査テンプレート(プロンプトテンプレート)が用意されており、用途に応じて定型的な調査やレポート作成を効率的に実施できます。
2. Google Threat Intelligenceのデータセットを活用
Agenticは、Google Threat Intelligenceが保有する包括的なセキュリティデータセットをもとに回答を生成します。Google Threat Intelligenceには、MandiantやVirusTotalが保有する脅威情報、OSINTなど、多様な脅威インテリジェンスが集約されています。
そのため、脅威アクターや攻撃キャンペーン、マルウェア、脆弱性、IoCなどに関する情報を横断的に参照しながら調査を行うことが可能です。
3. 調査結果の根拠を確認可能
Agenticの回答には、参照した情報源が明記されます。そのため、調査結果の根拠を確認しながら分析を進めることが可能です。
利用可能なライセンスと使用するクォータについて
Agenticは、Google Threat IntelligenceのEnterpriseおよびEnterprise+プランで利用できます。
また、Agenticへの質問や調査の実行によって、クォータは消費されません。
※Agenticの利用自体でクォータは消費されませんが、Agentic経由でPrivate Scanningにファイルをアップロードした場合は、Private Scanningのクォータが消費されます。
Agenticを用いた活用例
Agenticでは、脅威情報の調査や分析に加え、Google Threat Intelligenceの機能や活用方法について質問することも可能です。
本章では、実際の画面を交えながら活用例をご紹介します。
Agenticのトップ画面
Agenticでの質問例
- 日本を標的としている主な脅威アクターと最近の活動状況を教えてください。
- Emotetの最新の活動状況と感染時の特徴を教えてください。
- CVE-2025-31324の脆弱性について説明してください。
- WannaCryランサムウェアを検出するためのYARA-Lルールを作成してください。
- 最近のランサムウェアの脅威動向について教えてください。
- Google Threat IntelligenceにおけるPrivate Scanningとは何ですか?
1. IoC調査結果の要約と深掘り
Agenticは、IoC Investigationの調査結果をもとに、脅威情報の要約や分析を行うことができます。
Agenticはトップ画面からファイルハッシュやIPアドレス、ドメインなどを入力して利用できるほか、IoC Investigationと連携して利用することも可能です。
IoC Investigationから利用する場合は、IoC詳細画面の「Brief」をクリックすることで、Agenticを起動できます。
IoC InvestigationでのIoC詳細画面に表示される「Brief」からAgenticを起動できます
「Brief」をクリックすると、自動的にプロンプトが生成され、調査対象のIoCの概要やリスク、関連する脅威情報、推奨される対策などをまとめたレポートが生成されます。
これにより、マルウェアの概要や危険性を効率的に把握できるほか、追加の質問を通じて、GTIスコアの判定根拠や想定される攻撃手法、関連する脅威アクター、追加で調査すべきIoCなどを確認しながら、調査を進めることが可能です。
「Brief」をクリックして生成されたプロンプトに「日本語でわかりやすく教えて」を追記し実行した結果例
2. 脅威情報の調査と可視化
Agenticでは、脅威アクターやマルウェア、脆弱性、特定の業界や地域における脅威動向など、さまざまな脅威情報を自然言語で調査できます。
また、調査結果は文章による要約だけでなく、グラフや地図などを用いて可視化されるため、脅威の傾向を把握しやすくなっています。
ランサムウェア分析例
以下は、「ランサムウェアについて、主な脅威アクターとその攻撃手法について分析し、GTIを用いた対策方法を詳しく教えて。」 と入力した結果例です。
※画像をクリックすると全体を表示できます。
プロンプトテンプレート※を利用した分析例
以下は、「Time-Specific Region/Industry Threat Profiling」(特定の地域や業界を対象として脅威動向を分析する)テンプレートを利用し、日本の製造業における過去180日間の脅威動向を分析した例です。
※画像をクリックすると全体を表示できます。
※ Agenticには、脅威アクター分析や脆弱性調査、マルウェア分析、ランサムウェア分析、業界・地域別の脅威分析など、さまざまな調査に利用できるプロンプトテンプレートが用意されています。また、自組織の運用に合わせたカスタムプロンプトを作成し、繰り返し実施する調査やレポート作成に活用することも可能です。
FAQ
- Agenticに入力した情報は、AIの学習に利用されますか?
- Agenticのトライアルは可能ですか?
