RFIフォームの詳細
情報の要求(RFI)–サイバー脅威インテリジェンス
RFIプロセスには、進行中のイベントまたはインシデントをサポートするためのインテリジェンス情報または製品に対する特定の時間に敏感なアドホック要件が含まれます。
サイバー脅威インテリジェンスセンター(CTIC)が内部グループにRFIを送信する場合、要求されるデータのコンテキストと品質に関する一連の標準要件があります。
完全なサイバー脅威インテリジェンスオンラインナレッジベースの詳細-CyberIntellipedia
- データはキュレーションされる予定です。
- データキュレーションは、さまざまなソースから収集されたデータの編成と統合です。 これには、データの価値が長期にわたって維持され、データを再利用および保存できるように、データの注釈、公開、および表示が含まれます。
- データはレビューおよび検証されていることが期待されます。
- データのソースを提供するデータを引用する必要があります(Microsoft WordごとのAPA形式)。
- データは、ソースの信頼性とデータの検証について評価する必要があります(付録Aを参照)。
- データは、サイクルタイムを短縮するために毎回以下の形式に従います。 この形式は、使用中のインシデント対応プラットフォームと一致している必要があります。
- NISTに関連する標準や、組織内での使用について合意されたその他の承認された標準などの標準を使用する必要があります。
- データは、内部のプロセスと手順に合うようにフォーマットする必要があります。 標準のデータフィールドを使用して、Diamond、Kill chain、およびATT&CKモデルをどのように適用するかを検討することをお勧めします。
- データは、抽出が容易で、再現性があり、該当する場合は定量化できる(基数)必要があります。
- 月ごとのパターン、傾向、傾向を分析できるように、データには履歴レコードが必要です。
- データが作成された日時(イベントまたはインシデントの取り込みに関して組織によって作成されたのではなく、イベントまたはインシデントのアクティビティのアクション日時。
- データは、標準の内部分類レベルとTLP指定子を使用して分類する必要があります。
該当する場合、データは次の質問に答える必要があります。
- 問題または問題は正確には何ですか、または何でしたか?
- なぜ今これが起こっているのですか、誰がこれをしているのですか、彼らの意図/動機は何ですか?
- では、なぜ私たちは気にかけているのでしょうか。それは私たちとクライアントにとって何を意味するのでしょうか。
- これまでのところ、当社のデータとシステム、またはクライアントのデータとシステムに影響がありますか?
- 次に何が起こると思いますか? もしあれば、継続的な行動の予想される見通しは何ですか?
- 監督措置(データ/情報/分析に基づいて行われるべきまたは取られた措置)
- どのような推奨事項が作成され、どのような推奨事項が実行されましたか?
- 行動方針は何でしたか?
- 実装された推奨事項の結果はどうでしたか?
- 推奨事項に予期しない影響はありましたか?
- 今後、あなたの組織にはどのような機会がありますか?
- 弱点はありましたか?
- 強みを特定しましたか?
- 私たちの環境(人、プロセス、テクノロジー)にどのようなギャップが見つかりましたか?
送信するデータが、要求された形式の適切な引用でキュレーション、レビュー、および検証されていない場合、レポートに反映されない可能性があります。
ソースの信頼性
各ベンダーのレポートとデータフィードは、別のデータソースにすぎないものとして扱う必要があります。 信頼性、信頼性、および関連性について評価する必要のあるデータ。 そのために、NATOアドミラルティコードを使用して、組織がデータのソースとそのソースによって提供される情報の信頼性を評価するのを支援できます。 データ抽出の容易さ、組織の問題との関連性、インテリジェンスのタイプ(戦略的、運用的、戦術的、技術的)、およびセキュリティ問題の解決における価値を文書化しながら、このコーディング方法を使用して各ベンダーレポートを評価します。 ほとんどの出版物は、トップレベルのスコアリングモデルを提供しています。 PDFに組み込まれている自動計算の完全なモデルを提供します。