JA4+ - ネットワーク・フィンガープリンティング標準スイート

JA4+は、脅威ハンティングと分析の強化を目的とした、ユーザーに優しい、人間と機械が読み取り可能なネットワークフィンガープリントのスイートです。使用例には、マルウェアの検出、脅威行為者の特定、セッションハイジャックの防止などがあります。JA4+は、a_b_c形式を使用し、特定のフィンガープリントセクションの分析を可能にし、より深い洞察を提供します。たとえば、GreyNoiseは、TLS暗号を変更しても、フィンガープリントの一定部分に焦点を当てることで、行為者を追跡するためにJA4+を利用しています。JA4+は、TLS、HTTP、SSH、TCPなどのプロトコルをサポートし、クライアントとサーバーの両方のフィンガープリントを取得する方法を提供しています。Python、Rust、Zeek、C、Wiresharkプラグインとして利用可能であり、GreyNoise、Zeek、Arkimeなどのツールでのサポートも拡大しています。JA4（TLSクライアントフィンガープリント）は、BSD 3-Clauseライセンスの下でオープンソースですが、他のJA4+メソッドは、FoxIOライセンス1.1の下にあり、学術的および内部ビジネス用途では許可されますが、商業化にはOEMライセンスが必要です。JA4+フィンガープリントは、通常年1回のアプリケーションTLSライブラリの更新に合わせて進化し、暗号の制限や拡張機能のランダム化などの課題に対処するために、ユニークな暗号リストを優先し、署名アルゴリズムを組み込んでいます。プロジェクトは、フィンガープリントデータベースへの貢献とベンダーやオープンソースプロジェクトとの協力を歓迎しています。