@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00192110,
 author = {藤本, 万里子 and 松田, 亘 and 満永, 拓邦 and Mariko, Fujimoto and Wataru, Matsuda and Takuho, Mitsunaga},
 book = {コンピュータセキュリティシンポジウム2018論文集},
 issue = {2},
 month = {2020-10-15},
 note = {ドメイン名や IP アドレスなどの C2 サーバの情報は標的型攻撃を検知するための有用な手がかりとなる．近年，情報共有が世界中で進んでおり，インディケータの取り扱いの自動化のために，脅威情報の標準記述形式である STIX や，STXI を交換するための仕様である TAXII の普及が進んでいる．共有された情報，いわゆるインディケータの活用局面として，過去に発生した攻撃を検知すること，および将来的に発生しうる攻撃に備えて利用することが挙げられる．STIX を活用した効果的な検知のためには，適切なタイミングで STIX 形式のインディケータを受信し，組織のログを突合する必要がある．本研究では，TAXII を用いて，STIX 2.0 形式のインディケータを自動的に収集し，オープンソースのログ分析エンジンである Elastic Stack 上でプロキシログと突合することで，攻撃を効率的に検知する手法を提案する．, In detection of targeted attacks, indicators such as C2 server and IP address information can be useful. Information sharing scheme has been developed globally during the past years. A standardized format for describing cyber threat information called STIX, and transport mechanism for STIX called TAXII are getting popular to automate indicator handling.Shared information, in other words practical use of indicators serves two purposes: detecting malicious communication that occurred in the past and preparing for future attacks. For effective detection utilizing STIX, it is necessary to collect STIX format indicators in a timely manner and compare them with logs in the organization.In this research, we propose an effective method which collects STIX 2.0 indicators automatically with TAXII,  compares indicators with proxy logs, and analyzes them on Elastic Stack, an open source log analysis engine.},
 pages = {101--106},
 publisher = {情報処理学会},
 title = {STIX2.0/TAXII2.0を用いたインディケータの自動収集と攻撃検知の自動化},
 volume = {2018},
 year = {}
}