LoginSignup
5
6

More than 3 years have passed since last update.

@hassy_mossan(MASARU HASHIMOTO)inエーバイスリーセキュアシステム株式会社

社内でSOC構築してみた① #EXIST概要編

Last updated at Posted at 2020-10-16

Existの構築に関する記事。
社内でSOC構築してみた① #EXIST概要編
社内でSOC構築してみた② #MISP構築編
社内でSOC構築してみた③ #EXIST構築編
社内でSOC構築してみた④ #EXIST設定編

初めに

2020年のある日、自社内でSOCを刷新してみよう!という話になりました。
※SOC=Security Operation Centerの略

実際には24h/365dayの本格的な運用ではなく体制や必要なシステムを構築して、検知したらアラート鳴らして担当社員が分析する。
そんな流れをまずは整えていくこととなりました。

これから構築に至るまでの過程をこちらに備忘録としてQiitaに残していきます。

未知の脅威情報への対処 - EXISTを使用する理由

構築にあたって一番最初に課題として、かつ重要であると議題に上がったのが未知の脅威情報をどう対処するかでした。

そんな中で見つけたのがEXISTでした。
※EXternal Information aggregation System against cyber Threatの略

情報の収集方法や、情報の属性が多様であることに加えOSSなので今後の拡張性が望めたため、今回は採用を決定しました。

構築から簡単な検証に至るまでを行い、改めて優れた点を実感したので、この記事を通してより大勢の方に認知して頂ければとおもいます。

なおEXISTの構築については苦労する点が多々あったため、概要は簡単にお話をして構築についてこれから重点的に説明いたします。

今回の構築にあたっては以下の情報を参考にしました。
EXIST - Github
setodaNote - サイバー脅威情報集約システム EXIST を構築する
MISP
ninoseki.github.io - Head First MISP - MISP入門

1.Existの概要

この記事を見られた方は既にご存じかと思いますが、改めて簡単に概要を説明します。

EXISTは2019年にNICT(情報通信研究機構)がリリースした「サイバー脅威情報集約システム」
簡単に説明すると、異なる属性の脅威情報を集約して横断的な検索を可能とするOSSのWebアプリケーションになります。
EXIST_overview.png

上記はEXISTのNICTが作成した概要図ですが、左側の「Feeds」をみるとSNS、Threat intelligence(OpenSource)、Threat intelligence(Commercial Service)とそれぞれ性質の違う情報源があることがわかります、この点がまず異なる属性の脅威情報を集約しているという点にあたります。

そして集約された情報が真ん中の「EXIST」に集約されます。
集約した情報を1つの検索窓から検索(することもできる)、つまり横断的な検索が可能となります。

以上ザックリですが、概要を説明になります。

2.EXISTの機能

Existの主な機能は下記になります。

1.Threat
MISP (Malware Information Sharing Platform)と呼ばれるOSSのWebアプリケーションにて集約される情報を収集します。
MISPについては後の構築編でも扱いますが、簡単に説明すれば脅威情報を登録しコミュニティ間のMISPで情報を共有します。

2.Tracker
SNS、Threat intelligence(OpenSource)、Threat intelligence(Commercial Service)それぞれの情報をクローリングして収集します。

3.Hunter
ThreatとTrackerで収集されたメディア関連の情報とSNSの情報のうち、特定のキーワードをもとに継続的に監視します。
※SNSの監視は少し異なる。

4.Lookup
収集されたIP、URL、Domain、FileHashの情報を検索します。

5.WebAPI
API経由でEXISTを操作します。

3.EXISTのメリットと活用について

ここまでは簡単にEXISTについて説明しましたが、結局EXISTは何がすごいのか?どのように使用するのかを簡単に述べます。

1.情報の網羅性とスピード
例えば、JVNで公表される前の情報がSNSやコミュニティで公開されていたり、各メディアでは未公表の情報がSNSから収集できたりとこれまでの様に受動的だった情報の収集が収集という行動によってより早く把握できかつ様々な情報源から網羅的に収集できます。

2.継続的な監視
Hunterの機能を使用すれば、ある時点では検索に掛からなかった情報も時間の経過と共に蓄積されたことで検知が可能となります。

3.関連性による危険性予知
検索対象が様々な情報源に関連していることが把握できるため、データの関連から危険性を予知することができる。

以上がEXISTのザックリとした概要になります。
以降は構築方法を記載していきます。

5
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
6