Existの構築に関する記事。
社内でSOC構築してみた① #EXIST概要編
社内でSOC構築してみた② #MISP構築編
社内でSOC構築してみた③ #EXIST構築編
社内でSOC構築してみた④ #EXIST設定編
MISPについて
Existの構築の前に、データ取得先として必要なMISPの構築について、ここで簡単に説明します。 詳細については以下のサイトに詳しく記載されているので、ぜひ参考にしてください。参考:https://ninoseki.github.io/2018/09/15/head-first-misp.html
MISP(マルウェア情報共有プラットフォーム)とは
OSSのWebアプリケーションで歴史を紐解けば、個人の開発が軍主導による開発となり、 NATOで開発が活発化しました。 現在はルクセンブルクのCERTであるCIRCLにて管理されています。MISPの特徴
脅威情報を内部だけでなく外部のMISPインスタンスと共有し、情報を収集することが可能です。 収集した情報のIPやHash値等から、関連性を確認することができます。インストール方法
インストールはMISPより提供されているインストールシェルを実行することで完了します。#シェルのダウンロード
wget -O /tmp/INSTALL.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh
#インストールの実行
bash /tmp/INSTALL.sh -c
以上で完了ですが、インストール完了までにサーバーのスペックにもよりますが1時間程度かかります。
設定
インストールが完了したらhttpsでインストールしたサーバーのIPをしていしてアクセスします。 以下の画面が表示されるので、以下の情報を入力します。 ID:admin@admin.test PW:admin ![019f4c92-3e90-4843-89fe-392d10ae350c.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/83071/9498f68e-3ed2-545d-5ff8-0fe7a3b39bcc.png) ログイン後はPWの変更からEXISTで使用するための初期設定を行います。なおMISPにはチートシートがあるので、設定で困った際には是非そちらも参考にしてください。
https://www.misp-project.org/misp-training/cheatsheet.pdf
1)PWの変更
以下の画面が表示されるので、新しいPWを設定します。 設定するPWには制約があるので詳しくは「Password」の横にあるiのボタンをクリックして確認してください。 ![cf1f4631-0307-4fed-8bdd-cc743cab553c.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/83071/d4f4fb57-713a-51e6-8222-3a1ec726c0fc.png)2.Organization(組織)の作成方法
構築したMISPの所有者として、自分の組織情報を登録します。ヘッダーメニューの「Administration 」→「Add Organization」をクリック。
以下の画面が表示されらたら各項目を入力します、入力値の例は画像配下に記載。
・Local organisation
OFFの場合は既知のインスタンスのみ情報共有(?)のようなのでひとまずON。
・Organisation Identifier
組織名を記載します。
・UUID
インスタンスのID、共有インスタンス間でユニークでなければならないので無難に「Generate UUID」で生成して入力します。
・A brief description of the organisation
組織の簡単な説明を記載します。
・Bind user accounts to domains (line separated)
インスタンスにアクセス可能なユーザーとドメイン(?)を記載します。
・Logo (48x48 png)
ロゴをアップロードします。
・Nationality
所在する国を選択します。
・Sector
どの様なカテゴリに所属する組織化記載します。
・Type of organisation
カテゴリの中でどのような区分に属するか記載します
・Contact
連絡先の詳細を記載します。
最後に「Submit」を押下して完了。
3.データの登録
MISPで扱うイベント等のデータを登録します。ヘッダーメニューの「Sync Actions」→「List Feeds」をクリック。
「CIRCL OSINT Feed 」「The Botvrij.eu Data」の2つにチェックをいれ、[Enable selected] ボタンを押します。
確認ダイアログが表示されるので [Yes] を選びます
「Fetch and store all feed data」 ボタンを押下し、「Pull queued for background execution.」と表示されれば完了です。
サイドメニューのList Eventsを押下して、取り込んだデータを確認できます。
その他にもAttributes等が取り込まれたことも確認できます。
4.APIのAuth Key取得
EXISTからMISPに取り込まれたイベントなどのデータを取得する際に使用する、APIのAuth Keyを取得します。「Administration」→「List Users」をクリックします。
ユーザーは作成していないため、今回はadminのAuth keyを取得します。
赤枠の目のマークを押下すると、Auth Keyが表示されますのでそちらをメモしておきます。
以上でMISPの設定は完了となります。