前回のおさらい
本記事のスコープ
- Phantomの理解とインストール
- 実現したいPlaybookのサンプルを選択 ←ここ
- 必要となる連携Appを設定 ←ここ
- Playbookを編集
- Playbookを実行
Playbookの確認
-
メニューからPlaybooksを選択
-
以下を検索
- phishing_investigate_and_respond
- phishing_investigate_and_respond
-
3つ出てきていますが
- 1行目は、REPO=communityとなっています。これはcommunityレポジトリからDLしたものという意味です
- 2行目は、REPO=localとなっています。これはREPO=communityのplyabookを編集する際に複製されたものという意味です
- 3行目は、NAME=phishing_investigate_and_respond_v2となっていますが、これはREPO=localのplaybooksを直接編集するのではなく、コピーしてローカル編集した独自のplaybooksという意味です。(編集前にオリジナルを残す目的)
-
最初はREPO=communityしか出てこないと思うのでそちらのルールをクリックして編集メニューを開きます。すると以下の画面が現れます
-
MISSING ASSETSの警告が出ているので、RESOLVE MANUALLYを選択して中身の構成Appをcheckします
-
[Show All]にしてどのようなAppが必要かcheck
-
わたしの環境には既にいくつかのAppが設定されているので見えている数が違うかもしれませんが、ここでplyabook内に使われるappのasset名が確認できます
- threatgrid
- isightpartners
- screenshot machine
- cbprotect
- domaintools
- opendns
- dns
-
もともとplaybooksはgithubでも管理されているのでそちらのjsonファイルを見ると中身がよくわかります。
"misc": { "apps_list": ["VirusTotal", "DomainTools", "WHOIS", "MaxMind", "OpenDNS Investigate", "Carbon Black Response", "WildFire", "LDAP", "iSight Partners", "Screenshot Machine", "Threat Grid", "DNS"] },
- 一度playbookは閉じて、次に必要なappを設定していきます。
必要なAppの設定
-
今回は、簡単に利用できるAPIを厳選して設定していきます。
- Virustoal
- MaxMind
- ScreenShot Machine
- WHOIS
-
最初にAppのローカルレポジトリを最新に更新します。「APP UPDATES」から実行。
Virustoal
-
無償でhash, IP, URLなどのレピュテーション調査が行えるAppです
-
virustotalに会員登録して、Free版のAPIキーをGETします。フリー版はAPIリクエスト制限回数がありますが評価時には使えます。
-
phantomのAppメニューのunconfigured appからvirustotalと検索して「CONFIGURE NEW ASSET」をクリック
-
任意のAsset Name(例:virustotal)を入力
-
Asset Settingsタブに移動してAPIを設定
※地味にLimit Number of requests to 4 per minuteはチェック入れておいたほうがいいです。 -
TEST CONNECTIVITYでAPI接続確認
-
test passedならvirustotalのasset設定は完了です。
MaxMind
-
IPアドレスからGeoLocation情報をもってくるためのAppです
-
Configured Appsとして設定
-
maxmindもappの設定は、google mapとの連携をしておくと便利なのでgoogle mapのAPI取得から始まります。
-
Google map API利用までの設定方法(Freeでも使える)
https://developers.google.com/maps/documentation/javascript/get-api-key
-
Maps JavaScript APIを有効化します
-
GCPのコンソールにてAPIキーを有効化
-
Phantomのコンソールに戻って、Administration - Administration Settings - Google MapsにてAPIを設定
-
これでMaxMindの準備は完了です
ScreenShot Machine
-
URLにアクセスして、ページViewをスクリーンショットしてきてくれるAppです
-
まずはAPI取得のためにアカウント登録
-
APIのTrialをリクエスト
-
月100回までスクショがとれるらしいです
-
PhantomのAppにてAPIを設定します。TEST CONNECTIVITYでチェック。
-Screenshot machineの設定は終わりです。
WHOIS
- whoisデータベースの問い合わせ用appです
- Configured Appsとして設定
- 以上。
おまけApp(なくてもOK)
LDAP
- ActiveDirectoryサーバに対してLDAPクエリをかけてユーザ情報をもってきたり、ユーザーを無効化することもできるApp
- Administratorなどの管理者ユーザを設定
- TEST CONNECTIVITYでpassすれば設定完了
Office 365
- 指定メールボックスに入ったメールを自動取込するためのappとして利用
- Office365側の設定ガイドはappのDocumentationをクリックして参照
- Office365側の設定は慎重に見ながら進めてください。
- Office365の設定を済ませて簡単なbasic認証でメールを受信取得するように設定
-
わたしがハマったポイント
- 存在するMailboxを作成していなかったため、メールの収集に失敗。
- ちゃんと指定したメールボックスを作成することを忘れずに。
- メール収集インターバルも設定忘れずに。
- test connectivityが成功すればOK
Next
- 設定したAppを元にplayookを修正しながら動くものを作りたいと思います。