MISPのインストール、起動が完了しました。コンソールにはいくつかの機能が見えています。改めてMISPの目的を確認し、またイベント登録の基本的な動作を行ってみます。
MISPの目的・運用
自社でMISP(Malware Information Sharing Platform)を構築・運用することは、インシデント対応力・脅威分析力・組織内ナレッジの強化につながります。
- IOCや脅威イベントを時系列や相関付きで整理・検索でき、属人性を排除して組織全体で知見を体系的に蓄積できます。
- 過去の攻撃や兆候を即座に検索・参照でき、相関分析により攻撃キャンペーンの全体像や再侵害の検出に貢献します。
- SOCやCSIRT、IT運用、開発など異なる部門間の連携基盤として活用でき、タグやGalaxyにより脅威タイプや攻撃者情報も可視化できます。
- 外部MISPとの同期で早期警戒が可能になり、Distribution設定により情報漏洩リスクも制御可能です。
- SIEMやEDR、Firewallと連携してIOCをリアルタイムに活用でき、SOARとの連携で自動応答やチケット化にも発展できます。
定常的な運用タスク一覧
| 項目 | 内容 | 頻度・目安 |
|---|---|---|
| 1. IOC登録・イベント作成 | 検出ログや分析結果からイベント(インシデント)を作成し、属性(Attribute)を追加 | 週次〜都度 |
| 2. IOCの分類・タグ付け | Category、Type、Galaxy、Taxonomyで構造化して格納 | 登録時 |
| 3. 相関・類似イベントの調査 | 過去の関連イベントやIOCを参照・相関を確認 | 都度 |
| 4. フィード・外部同期の確認 | OSINT、他MISPなどからの情報取り込み(FeedやSync) | 日次〜週次 |
| 5. 脅威情報の活用 | SIEMやEDRにIOCを連携、ルール化やアラートの設定 | 週次 |
| 6. 情報の更新・修正 | イベントに新たな属性を追加、誤りの修正 | 随時 |
| 7. インシデント後のナレッジ蓄積 | 事後分析やレポートをMISPイベントに統合 | 各インシデント後 |
実際の活用シナリオ例
- SOCが検知したC2通信のIPアドレスをMISPに登録 → 直後に他部署のEDRが同じIPとの通信をブロック → 相関機能で迅速なキャンペーン対応が可能に。
- ゼロデイの脅威情報をMISPに自動取り込み → 社内インフラと突合して被害有無を確認。
Eventを作成してみる。
Eventとは
MISPにおける「イベント」は、フィッシング、ランサムウェア、APT攻撃などの1件の攻撃事例や脅威キャンペーンを単位としてまとめたレポートです。IPアドレスやハッシュなど複数の属性(Attribute)を含み、カテゴリ、TLP(情報共有範囲)、タグなどの情報を通じて内容の意味づけや整理が行われます。脅威を構造的に記録し、他者と共有するための基本単位です。基本的には、イベント自体の作成、属性(attributes) や添付ファイルの入力、公開という3つのフェーズに分けられる。
Event作成手順
| 項目名 | 説明 |
|---|---|
| Date | インシデントが発生した日付。フィールドをクリックするとカレンダー形式で選択可能。 |
| Distribution | イベントの公開範囲。誰がこのイベントを閲覧できるか、および他サーバへ同期するかを決定。 ・Your organisation only(自組織のみ) ・This Community-only(同一MISPサーバ内) ・Connected communities(2ホップ先まで) ・All communities(全体共有) ・Sharing group(定義済み共有グループ) |
| Threat Level | 脅威の深刻度を示す。 ・Low(一般的なマルウェア) ・Medium(APT攻撃) ・High(高度なAPT・ゼロデイ攻撃) ・Undefined(未定義) |
| Analysis | 分析の進捗状況。 ・Initial(初期) ・Ongoing(進行中) ・Completed(完了) |
| Event Info | イベントの概要や識別情報などの簡潔な説明文を記載する欄。 |
| Extends Event | 既存イベントを拡張する場合に、そのUUIDまたはIDを入力。通常は空欄で問題ない。 |
必要事項を入力してSubmitするとイベントが作成されます。Event Infoに入力したテキストがイベントのタイトルと言うか、見出しになるみたいです。
属性(Attribute)を追加する。
このままだと日付と説明文しかないので、作成したイベントに対して属性を付与していきます。
| 項目名 | 説明 |
|---|---|
| Category | 属性の分類(マルウェアのどの側面を表すか)。 Network activity(ネットワーク通信)、Payload delivery(マルウェアの配布)など。 |
| Type | 属性の具体的なタイプ。選択するカテゴリによって選べるタイプも変わる。 ip-src(送信元IPアドレス)、email-src(送信者メールアドレス)、sha256(ファイルハッシュ)など。カテゴリとタイプの組み合わせでIOCの意味が決まる。 |
| Distribution | この属性が誰に共有されるかを制御する。デフォルトではイベントと同じ設定を継承(Inherit event)。イベントより制限が強い設定を選ぶことも可能。 |
| Value | 実際の値。 たとえばip-srcであれば「11.11.11.11」、urlであれば「http://example.com」。タイプに応じた形式で入力する必要がある。 |
| Contextual Comment | 補足情報や説明を記載する欄。 これは相関処理には使われず、純粋に情報提供目的で使用される。 |
| Batch import | チェックすると、複数の値を改行区切りで一括入力可能。 例えば複数のIPアドレスをまとめて登録する場合に便利。 |
| For Intrusion Detection System | チェックすると、IDS(侵入検知システム)向けの出力対象として扱われる。MISPからNIDS向けシグネチャとしてエクスポートされる条件になる。 |
| Disable Correlation | 相関処理(他イベントとの関連付け)を無効化する場合に使用。誤検知や不要な相関を避けたい時にチェックする。 |
| First seen date / time | 属性が初めて観測された日付と時刻。 |
| Last seen date / time | 属性が最後に観測された日付と時刻。IOCの有効期間やキャンペーンの継続期間を表現するのに使用。 |
結果
1つのイベントに対して複数の属性を付与できる。複数のイベント間で共通の属性が確認できる場合には、相関(Correlation)が図示される。
