4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

SOARやろうぜ!無償のPhantom Community版使って。~App設定編~

Last updated at Posted at 2020-02-12

前回のおさらい

本記事のスコープ

  1. Phantomの理解とインストール
  2. 実現したいPlaybookのサンプルを選択 ←ここ
  3. 必要となる連携Appを設定 ←ここ
  4. Playbookを編集
  5. Playbookを実行

Playbookの確認

  • メニューからPlaybooksを選択
    スクリーンショット 2020-02-05 7.24.02.png

  • 以下を検索

    • phishing_investigate_and_respond
      スクリーンショット 2020-02-05 7.25.55.png
  • 3つ出てきていますが

    • 1行目は、REPO=communityとなっています。これはcommunityレポジトリからDLしたものという意味です
    • 2行目は、REPO=localとなっています。これはREPO=communityのplyabookを編集する際に複製されたものという意味です
    • 3行目は、NAME=phishing_investigate_and_respond_v2となっていますが、これはREPO=localのplaybooksを直接編集するのではなく、コピーしてローカル編集した独自のplaybooksという意味です。(編集前にオリジナルを残す目的)
  • 最初はREPO=communityしか出てこないと思うのでそちらのルールをクリックして編集メニューを開きます。すると以下の画面が現れます
    スクリーンショット 2020-02-05 7.31.13.png

  • MISSING ASSETSの警告が出ているので、RESOLVE MANUALLYを選択して中身の構成Appをcheckします
    スクリーンショット 2020-02-05 8.04.29.png

  • [Show All]にしてどのようなAppが必要かcheck
    スクリーンショット 2020-02-05 8.06.03.png

  • わたしの環境には既にいくつかのAppが設定されているので見えている数が違うかもしれませんが、ここでplyabook内に使われるappのasset名が確認できます

    • threatgrid
    • isightpartners
    • screenshot machine
    • cbprotect
    • domaintools
    • opendns
    • dns
  • もともとplaybooksはgithubでも管理されているのでそちらのjsonファイルを見ると中身がよくわかります。

"misc": { "apps_list": ["VirusTotal", "DomainTools", "WHOIS", "MaxMind", "OpenDNS Investigate", "Carbon Black Response", "WildFire", "LDAP", "iSight Partners", "Screenshot Machine", "Threat Grid", "DNS"] },

  • 一度playbookは閉じて、次に必要なappを設定していきます。

必要なAppの設定

  • 今回は、簡単に利用できるAPIを厳選して設定していきます。

    • Virustoal
    • MaxMind
    • ScreenShot Machine
    • WHOIS
  • 最初にAppのローカルレポジトリを最新に更新します。「APP UPDATES」から実行。
    スクリーンショット 2020-02-05 8.44.23.png

Virustoal

  • 無償でhash, IP, URLなどのレピュテーション調査が行えるAppです

  • virustotalに会員登録して、Free版のAPIキーをGETします。フリー版はAPIリクエスト制限回数がありますが評価時には使えます。
    image.png

  • phantomのAppメニューのunconfigured appからvirustotalと検索して「CONFIGURE NEW ASSET」をクリック

  • 任意のAsset Name(例:virustotal)を入力
    スクリーンショット 2020-02-05 8.45.37.png

  • Asset Settingsタブに移動してAPIを設定
    スクリーンショット 2020-02-05 8.46.35.png
    ※地味にLimit Number of requests to 4 per minuteはチェック入れておいたほうがいいです。

  • TEST CONNECTIVITYでAPI接続確認
    image.png

  • test passedならvirustotalのasset設定は完了です。

MaxMind

  • IPアドレスからGeoLocation情報をもってくるためのAppです
    スクリーンショット 2020-02-06 8.01.59.png

  • Configured Appsとして設定

  • maxmindもappの設定は、google mapとの連携をしておくと便利なのでgoogle mapのAPI取得から始まります。

  • Google map API利用までの設定方法(Freeでも使える)
    https://developers.google.com/maps/documentation/javascript/get-api-key
    image.png

  • Maps JavaScript APIを有効化します

スクリーンショット 2020-02-05 9.55.36.png
  • GCPのコンソールにてAPIキーを有効化
    image.png

  • Phantomのコンソールに戻って、Administration - Administration Settings - Google MapsにてAPIを設定
    image.png

  • これでMaxMindの準備は完了です

ScreenShot Machine

  • URLにアクセスして、ページViewをスクリーンショットしてきてくれるAppです
    スクリーンショット 2020-02-05 10.01.21.png

  • まずはAPI取得のためにアカウント登録

  • APIのTrialをリクエスト
    スクリーンショット 2020-02-05 10.05.05.png

  • 月100回までスクショがとれるらしいです
    スクリーンショット 2020-02-05 10.06.03.png

  • PhantomのAppにてAPIを設定します。TEST CONNECTIVITYでチェック。
    スクリーンショット 2020-02-05 10.08.36.png

-Screenshot machineの設定は終わりです。

WHOIS

  • whoisデータベースの問い合わせ用appです
    スクリーンショット 2020-02-06 8.01.23.png
  • Configured Appsとして設定
  • 以上。

おまけApp(なくてもOK)

LDAP

  • ActiveDirectoryサーバに対してLDAPクエリをかけてユーザ情報をもってきたり、ユーザーを無効化することもできるApp
    スクリーンショット 2020-02-06 8.05.24.png
  • Administratorなどの管理者ユーザを設定
    スクリーンショット 2020-02-06 8.06.35.png
  • TEST CONNECTIVITYでpassすれば設定完了

Office 365

  • 指定メールボックスに入ったメールを自動取込するためのappとして利用
スクリーンショット 2020-02-12 22.18.43.png
  • Office365側の設定ガイドはappのDocumentationをクリックして参照
スクリーンショット 2020-02-12 22.21.15.png
  • Office365側の設定は慎重に見ながら進めてください。
スクリーンショット 2020-02-12 22.24.12.png
  • Office365の設定を済ませて簡単なbasic認証でメールを受信取得するように設定
スクリーンショット 2020-02-12 22.19.13.png
  • わたしがハマったポイント
    • 存在するMailboxを作成していなかったため、メールの収集に失敗。
スクリーンショット 2020-02-12 22.26.32.png
- ちゃんと指定したメールボックスを作成することを忘れずに。
スクリーンショット 2020-02-12 22.26.58.png
  • メール収集インターバルも設定忘れずに。
スクリーンショット 2020-02-12 22.21.15.png
  • test connectivityが成功すればOK
スクリーンショット 2020-02-12 22.28.35.png

Next

4
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?