情報の共有と交換

  • [アーティクル]

Microsoftの Government Security Program (GSP)のミッションは、透明性を通じて信頼を構築することです。 Microsoft では、2003年にこのプログラムが開始されてから、政府および国際組織が自身およびその市民を保護するために使用できるテクノロジとセキュリティの成果物を可視化してきました。 情報の共有と交換オファリングによって、Microsoftの製品やサービスに対する、またはそれら関連する脅威、脆弱性、異常な動作、マルウェア情報、およびセキュリティの問題に関する資料をMicrosoft が共有および交換することができます。

この製品は、Microsoft 環境全体でグループとリソースを統合し、政府が国民、インフラストラクチャ、組織を保護できるようにします。

Information Sharing and Exchange (ISE) オファリングが提供するものは

名前 詳細
セキュリティの脆弱性に関する高度な通知
  • リリース ノートと影響を受けるソフトウェア テーブルを含む脆弱性に関する5日間の詳細通知
  • 悪用可能性インデックスを含む 24 時間の高度な通知
    		•
    悪意のある URL
  • Bing クローラーによって検出された、悪意のある可能性のある一般向けサーバーとサービスのフィード
  • 3 時間ごと、5日間のデータ サイクルごとに更新
    		•
    CTIP Botnet フィード
  • デジタル犯罪ユニット (DCU) サイバー脅威インテリジェンス プログラム (CTIP) によって提供される
  • Botnet データは、機関 (CERTの場合は国コードの最上位レベルメインに合わせて調整されます)
  • 4 つのフィード: 感染したデバイス、コマンド&コントロール、IoT、Doメイン
  • ほぼリアルタイム、毎時、または毎日配信 (重複除去)
    		•
    クリーン ファイル メタデータ
  • 許可リストとフォレンジックでよく使用されるファイル ハッシュ データをクリーンアップする
  • 3時間ごとに更新される
  • Microsoft ダウンロード センター上のすべての Microsoft バイナリについて説明します
    		•
    パートナーシップ
  • さまざまなフォーラムを通じた情報交換
  • デジタル犯罪コミュニティ (DCU) ポータルへのアクセス
  • デジタル犯罪ユニット (DCU) との脅威インテリジェンス データ共有
  • Microsoft セキュリティ レスポンス センター (MSRC) や Windows ディフェンダー セキュリティ インテリジェンスを含む、エンジニアリング グループやその他の Microsoft チームとの直接的な関与
    		•

    データ フィードの配信

    I Standard Edition 承認の下で提供されるフィードは、Microsoft Security Response Center (MSRC)Digital Crimes Unit (DCU)Bing製品リリースおよびセキュリティ サービス (PRSS) など、複数のグループ内に存在します。

    GSP チームは、GSP 機関が1つのインターフェイスから I Standard Edition データ フィードにアクセスできるようにする Web ベースのアプリケーションを提供します。 機密データを含むすべての通信が暗号化されます。

    Data Feed delivery

    データ使用の説明

    高度なセキュリティ更新プログラムの通知 通知パッケージには、リリースで対処されているすべての CVE (一般的な脆弱性と露出) が一覧表示されます。 各 CVE には、脆弱性の説明 (メトリックを含む)、悪用可能性インデックス、影響を受けるソフトウェアなどの一連の情報が含まれています。

    Content for each CVE

    Bing悪意のある URL Bing悪意のある URL フィードには、悪意のある可能性があると識別された一般に公開されているサーバーまたはサービスが含まれています。 新しいファイルは3時間ごとにアップロードされます。完全なデータ セットは5日以内に生成されます。 多くの機関は、JSON ファイルを既存の脅威インテリジェンス分析ツールに直接インポートします。

    Geo map of IPs

    Threat types

    クリーン ファイル メタデータ (CFMD)

    Clean File Meta Data (CFMD) フィードには、Microsoft 製品に含まれるファイルの暗号化署名 (SHA256 ハッシュ) が含まれています。 これらは、侵害された可能性のあるデバイスのフォレンジック検査や、重要なシステムでのファイルの実行を許可/禁止するためによく使用されます。

    Clean File Metadata

    CTIP Botnet フィード: 感染したデータ フィード

    DCU は、DCUの CTIP 脅威インテリジェンス サービス感染デバイス データ フィードを介して侵害された被害者ボットネット データを提供し、CTIP サブスクライバーのネットワーク保護シナリオを有効にし、インターネット上の感染したシステムの数を減らすことを目的として、侵害されたシステムの修復を容易にします。 その他のフィードには、ファイアウォールや保護 DNSを介して既知のマルウェア ネットワークへのトラフィック フローを制限するためによく使用されるコマンド アンド コントロール (C2)、IoT、Doメインの一覧があります。

    CTIP data 1

    CTIP data 2

    お問い合わせ

    政府機関のセキュリティ プログラムの詳細については、現地の Microsoftの担当者にお問い合わせください。