Flash — 基盤インシデントインテリジェンス

数秒で実体化したインシデントインテリジェンス

セキュリティチームはアラートに埋もれ、完成したインテリジェンスが不足しています。Flashはこのギャップを埋めます：生のアラート（SIEM通知、濫用報告、疑わしいメールヘッダー、ログ抜粋）を送信すると、約6秒で構造化されたブランド化されたインシデントドシエを受け取れます。すべての指標はソースに基づいて実体化しています：IP、ドメイン、ハッシュ、メール、またはウォレットは、入力に文字通り存在するか、決定的にデコードされた場合にのみレポートに表示されます。何も捏造されません。

仕組み

1. 抽出 — インジケータ（IOC）は抽出され正規化されます：デファングされたURLをデコードし、整数および十六進数形式のIPを解決し、ハッシュを分類します。
2. 実体化と品質保証 — 反ハルシネーション品質ゲートが完成したカードをスキャンし、ソースで検証できない指標はフラグ付けされ除去されます。実体化されていない指標を含むドシエは出荷されません。
3. 重大度コンセンサス — 重大度は単一の不透明なスコアではなく、迅速なマルチモデルコンセンサスによって設定されます。
4. 深層エビデンス — 各指標はライブ脅威インテリジェンスおよび過去の評価と照合されます。
5. 配信 — ブランド化されたHTMLとパスワード保護されたPDF、さらにツール向けに機械可読なSTIX 2.1 と MISP 出力が提供されます。

エビデンスの堀 — 推測ではなく実証済み

Flashが一般的なAI要約と異なる点は検証です。すべての実体化された指標は、キュレーションされた継続的に更新される脅威フィード（マルウェアURLブロックリスト、OFAC SDN を含む制裁指定や暗号ウォレットエントリ、既知の脆弱性カタログ、フィッシングおよびボットネットフィード、レピュテーションネットセット）と照合されます。各指標には明確な判定が付与されます：

• Confirmed-malicious — ライブフィードでヒットしたもの。
• Known-prior — 以前の評価で確認されたもの。
• Observed — アラートに存在するが、現在のフィードではヒットしないもの。

指標はパッシブなRDAPおよびDNSコンテキスト（レジストラ、ネットワーク所有者、所在地）で補強されますが、攻撃者インフラに触れることはありません。

受け取れるもの

Flashは階層別に提供され、必要な深さに応じて料金が発生します：

• Preview (free) — サマリー、重大度、上位の実体化指標。
• Dossier (paid) — 完全レポート：判定付きの完全なIOCセット、ATT&CKマッピング、攻撃チェーンのストーリー、深層エビデンスの照合、そして封じ込めガイダンスを含む、パスワード保護されたPDF。
• Monitoring (subscription) — 繰り返し発生するアラートに対する指標の差分監視を継続的に実施し、変更アラートとバッチ処理を提供します。

対象

大量の案件で一貫したクライアント向けトリアージが必要なMSSPやマネージド検知プロバイダー、専任のインテリジェンスアナリストを持たない小規模SOCやインシデントレスポンスチーム、そして証拠レベルの文書を迅速に必要とするバグバウンティやIR実務者向けに設計されています。

設計上の受動的かつ機密性

Flashは送信された素材のみを分析します。指標は入力から抽出され、インテリジェンスフィードと比較されますが、サービスが攻撃者インフラや第三者をスキャン、接触、または相互作用することはありません。レポートはテナントごとに分離され、完全なドシエはエクスポート時に暗号化されパスワードで保護されます。