本資料は、MISPへのデータ投入を行う方法に関するガイドになります。
ご不明点につきましては、 こちらのお問い合わせフォーム よりSecureGRIDアライアンス事務局にお気軽にご連絡ください。
以下内容について記載します。
以下手順でMISPのWeb画面上で操作することで、標準で用意されている脅威情報のフィードデータをMISP上に登録することが可能です。
Sync Actionsを押下List Feedsを押下Load default feed metadataを押下ここまでの手順で、画面上にMISPで標準で用意されているフィードのリストが表示されます。
この中から取り込みたいフィードについて、編集(edit)⇒有効(enable)に設定することでデータ取り込みが可能となります。
この状態で、Fetch all events を押下することでイベントとしてMISPに登録されます。
またこの取り込み作業は、Administration -> Schedule Tasksより定期的に自動実行するように設定が可能です。
MISPのデータ登録はWebが縁から手動で行うことも可能です。
Add Event を押下いただっことで、イベント作成画面が開きます。こちらの画面でイベント作成に必要な情報を設定し登録します。
しかしこの段階ではアトリビュートが0件の空のイベントが作られるのみのため、実際のデータについては「Add Attributeから追加していく必要があります。Add Attributeの画面ではアトリビュート登録に必要なcategory/typeなどを設定し登録します。この手順をアトリビュート件数分繰り返す必要があるため、あくまでテストイベントの作成や、不足アトリビュートを数件追加登録するといった使い方が現実的と思われます。
MISPにアトリビュートをまとめてインポートするためのツールが用意されています。
こちらのツールを利用することで、登録したい値が書かれた文章や表・リストなどのテキストデータから、MISPでアトリビュートとして扱えるIPアドレスやドメイン・URLなどを自動抽出し、抽出できた値を一括でアトリビュートとして追加することが可能です。
イベントを作成した後の画面でPopulate from…を押下することで対応するファイル形式の一覧が表示されます。ファイル形式を選択した後画面の指示に従って操作することで、ファイルから読み込んだ値がアトリビュートとしてまとめて追加されます。
当研究所で以前に作成し公開したCSVデータをもとにMISP登録を行うための ツール も存在します。
こちらを活用いただくことで、エクセル等で管理されている多数のデータを、一括して読み込み、複数イベントに登録したりタグ付けしたり、ということが可能です。
使用方法については ツールのreadme をご参照ください。
MISPでは、各種操作をWebAPI経由で実行できるようになっています。
MISPのWeb画面にログインした後Automationを選択することで、詳細を確認可能です。
シンプルなWebAPIとして実装されているため、様々なプログラミング言語から利用が可能です。
今回は当研究所で利用実績の豊富なpython用のライブラリ pymisp を使ったスクリプト作成について、具体的なコードを含めて こちらのガイド にて解説しています。