GreyNoise

概要

GreyNoiseは、インターネット上で悪意あるスキャンや攻撃を行っているIPアドレスを特定し、その活動に関する情報を収集・分析することを支援する脅威インテリジェンスを提供するプラットフォームです。
GreyNoiseは数千のセンサーを世界中に展開しており、様々なIPアドレスがどのように行動しているかをリアルタイムで監視しています。インターネット全体の脅威状況を把握しつつ、不要なノイズを減らしてセキュリティチームの作業を効率化するための重要なツールとして、セキュリティ運用を支援します。

利用方法としては、ウェブUI（Visualizer）で利用する方法と、API経由で利用する方法の2通りがあります。【参考】APIのリファレンスガイド

 

主な特徴と機能

1. 脅威インテリジェンスの提供
   • GreyNoiseは数千のセンサーを50か国以上に展開し、IT資産を模倣することで悪意ある活動を含め、膨大なウェブアクセスを監視しています。
   • サイバー攻撃やスキャンの兆候を集め、解析することで、脅威の情報を迅速に提供します。
2.  リアルタイムデータ
   • リアルタイムに脅威を特定し、すぐにアクション可能な脅威インテリジェンスを提供します。
   • IPアドレスが何を行っているか（スキャン、攻撃、悪意のある活動）を把握でき、SIEM、SOAR、TIPS（脅威インテリジェンスプラットフォーム）などに統合可能です。
3. アクション可能な情報
   • 収集された情報は、機械読み取り可能ですぐに利用できる形で提供され、組織はこれを活用して迅速な脅威対応や防御を行うことができます。
   • 悪意あるIPのブロック、誤検知や低優先度のアラートのフィルタリング、重要な脆弱性の優先度付けに役立ちます。

活用事例

• IPアラート削減：IPアラートの量を最大70%削減し、セキュリティ監視の効率を高めることが可能です。
• エクスプロイト防御：マススキャンを行う悪意のあるIPをブロックし、特定の脆弱性を狙ったIPを防御します。
• パッチの優先順位付け：高リスクの脆弱性を特定し、優先的にパッチを適用することができます。
• 脅威ハンティング：IPの履歴情報や行動パターンに基づいて、攻撃者を特定する調査のスピードを向上させます。

Greynoiseのデータセット

Greynoiseは、大きく分けて Noise と RIOT の2種類のデータセットを提供します。これらを適切に特定・追跡することにより、標的型攻撃などの真の脅威に集中することが可能になります。

1. Noise: インターネット全体で発生しているスキャン活動に関連するIPアドレス群。さまざまなメタデータを持ちますが、中でも特徴的なメタデータとして分類（Benign, Malicious, Unknown）があり、この分類情報によって企業が最適な対応をとれるよう支援します。
   • Benign: 特定のアクターによる、悪意のないスキャンに関連する無害なIPアドレス。
     （例）ShodanやCensysといった企業や研究機関が、セキュリティ目的で行うスキャン活動に関連するIPアドレス
   • Malicious: 脅威アクターによる、悪意を持ったスキャン。悪性のタグが付与されているIPアドレスがこれに分類される。
   • Unknown: 上記の基準によってどちらにも分類することができなかったIPアドレス。
2. RIOT: “Rule It Out” の略で、企業VPNや検索エンジンなどの無害なIPアドレス群。Microsoft 365、Google Workspace、Slackのようなクラウドサービスや、CDNやパブリックDNSサーバーといった、正常な通信先に関連するIPアドレス群。非公開または動的なIPを介して通信するため、追跡困難であることが多いため、Greynoiseが提供するコンテキストが有用になる。

ライセンス一覧

主要なライセンスは、以下の通りです。最も主要なライセンスとして Core Intelligence があり、Tierによって1日あたりの検索可能回数が異なります。

• Core Intelligence (Tier 1 – 10)
  • Tier 1: 250 Searches/Day, 15 alerts, 10 blocklists
  • Tier 2: 1,000 Searches/Day, 15 Alerts, 10 Blocklists
  • Tier 3: 2,500 Searches/Day, 15 Alerts, 10 Blocklists
  • Tier 4: 5,000 Searches/Day, 15 Alerts, 10 Blocklists
  • Tier 5: 25,000 Searches/Day, 15 Alerts, 10 Blocklists
  • Tier 6以上: お問い合わせください。
    ※100,000 – 10,000,000 Searches/Day
• Add-on
  • Alerts (75, 150, 300): Core Intelligenceで設定可能なアラートの数を増やすためのアドオン。
  • Blocklists (100, 1000): Core Intelligenceで設定可能なブロックリストの数を増やすためのアドオン。
  • IP Similarity Add-on: 対象のIPと似た動作をするIPを発見し、類似点と相違点を並べて調べるためのアドオン。類似度とその判定根拠も示します。これらにより、将来生じ得る、他の脅威に備えられます。

    【参考】メーカーWebページ

    

    類似IPと判定する閾値の類似度（本キャプチャでは85%以上）を75%〜100%で設定可能。「SUMMARY」タブでは、類似していると判定された全てのIPに関する情報をサマリーで確認することが可能。

    

    「IP LIST」タブでは、IP同士を1対1で比較し、類似点と相違点を並べて調べられます。類似度とその判定根拠も確認可能です。

  • IP Timeline Add-on: 対象のIPの履歴を最大90日間提供するアドオン。スキャンのパターン（自動・手動）を区別したり、行動パターンの変容（偵察活動から攻撃活動への移行など）の特定などが可能です。
    【参考】メーカーWebページ
    
  • Vulnerability Prioritization Add-on: 実際に悪用されているエクスプロイトに関するデータを提供し、脆弱性管理チームによるパッチの優先順位付けと緊急対応を支援します。他の脆弱性管理ツールでは、脆弱性の攻撃情報を外部のセキュリティデータベンダーやオープンソース情報から取得するのが一般的で、過去に報告された脆弱性が現在も攻撃に使用されているかどうかの判断が難しい場合がありますが、Greynoiseは独自のセンサーネットワークを通じて直接情報を収集し、現在進行中の攻撃を特定するため、適切な優先順位付けが可能になります。
    【参考】メーカーWebページ
    

    Log4jのリモートコード実行（RCE）脆弱性であるCVE-2021-44228に関するデータ（visualizerでの確認画面）。推奨アクションや、センサーの観測状況なども確認可能。

  • Feeds: 直近24時間以内に観測されたIPアドレスのフィード。逐一APIで参照するのではなく、フィードでエンリッチすることにより迅速なエンリッチメントが可能になる。
    • Benign Feeds: Benignに分類されたIPアドレスのデータ含むフィード。
    • Malicious Feeds: Maliciousに分類されたIPアドレスのデータ含むフィード。
    • All Feeds: Benign、Malicious、Unknownに分類されたIPアドレスの全てを含むフィード。
  • Bulk Data
    • Noise Dataset: Noiseのデータセット
    • RIOT Dataset: RIOTのデータセット
    • Noise Daily Summary Dataset

GreyNoise Query Language (GNQL)について

GreyNoise Query Language (GNQL)は、Visualizer と REST API の両方からデータを検索するために使用できるクエリ言語です。
“-” を用いることで、対象を検索結果から除外することも可能です。

• QNQLによるクエリ文（例）

クエリ	説明
last_seen:today	今日インターネットをスキャン/クロールしているすべての IP を返します。
classification:malicious metadata.country:Belgium	ベルギーにあるすべての危険なデバイスを返します。
classification:malicious metadata.rdns: ".gov"	逆引き DNS レコードに .gov を含むすべての侵害されたデバイスを返します。
metadata.organization:Microsoft classification:malicious	Microsoft に属するすべての侵害されたデバイスを返します。
raw_data.scan.port:554	ポート 554 に対してインターネットをスキャンしているすべてのデバイスを返します。
-metadata.organization:Google raw_data.web.useragents:GoogleBot	Google に属していないネットワークから、ユーザーエージェントに "GoogleBot " を含むインターネットをクロールしているすべてのデバイスを返します。
tags: "Siemens PLC Scanner" -classification:benign	GreyNoise によって「良性」としてタグ付けされていない SCADA デバイス (Shodan/Project Sonar/Censys/Google/Bing/etc) のためにインターネットをスキャンしているすべてのデバイスを返します。

• GNQLのクエリ文において用いることのできるデータフィールド

項目	説明
ip	デバイスのIPアドレス
classification	デバイスの分類（Benign, Malicious, Unknown）
first_seen	GreyNoiseがデバイスを最初に観測した日付
last_seen	GreyNoiseがデバイスを最後に観測した日付
actor	デバイスが関連付けられた無害なアクター（Shodan、Censys、GoogleBotなど）
tags	過去90日間にデバイスに割り当てられたタグのリスト
spoofable	インターネットをスキャンしているが、完全なTCP接続を完了できなかったかどうか（true/false）。trueの場合、報告された活動は偽装されている可能性がある。
vpn	このIPはVPNサービスに関連している。悪意のある活動やその他の活動はVPNサービスプロバイダーに帰属すべきではない。
vpn_service	IPが関連付けられているVPNサービス
bot	IPが既知のボット活動に関連付けられている
metadata.category	デバイスがビジネス、ISP、ホスティング、教育機関、またはモバイルネットワークに属しているか
metadata.country OR metadata.source_country	デバイスが地理的に所在する国の正式名称 ※正式名称の一覧はこちら
metadata.country_code OR metadata.source_country_code	デバイスが地理的に所在する国の2文字の国コード ※国コードはISO 3166-1による
metadata.destination_country	IPスキャンの宛先国の正式名称
metadata.destination_country_code	IPスキャンの宛先国の2文字の国コード
single_destination	ソース国IPが単一の宛先国でしか観測されていないかどうか。
metadata.city	デバイスが存在する都市
metadata.region	デバイスが存在する地域
metadata.organization	IPアドレスが属するネットワークを所有している組織
metadata.rdns	IPのリバースDNSポインタ
metadata.asn	IPアドレスが属するASN
metadata.tor	デバイスが既知のTor出口ノードであるかどうか
raw_data.scan.port	デバイスがスキャンしていると観測されたポート番号
raw_data.scan.protocol	デバイスがスキャンしていると観測されたポートのプロトコル
raw_data.web.paths	デバイスがインターネット上でクロールしていると観測されたHTTPパス
raw_data.web.useragents	デバイスがインターネット上でクロールする際に使用していると観測されたHTTPユーザーエージェント
raw_data.ja3.fingerprint	JA3 TLS/SSLフィンガープリント
raw_data.ja3.port	指定されたJA3フィンガープリントに対応するTCPポート
raw_data.hassh.fingerprint	HASSHフィンガープリント
raw_data.hassh.port	指定されたHASSHフィンガープリントに対応するTCPポート

FAQ