-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
サイバー・グリッド・ジャパン 次世代セキュリティ技術研究所の
当研究所では、オープンソースの情報共有プラットフォームである「MISP(Malware Information Sharing Platform)」を使った脅威分析の取り組みを進めています。
過去には、MISPへの脅威情報の登録を支援するツール「MISP-CSVImport」を公開しています。
またMISP活用については、当研究所内での活用にとどまらず、脅威情報共有体制であるSecureGRIDアライアンスの運営や外部組織に対するMISP活用の支援なども行っています。
さらに詳しく知るにはこちら
SecureGRIDアライアンスこれらの活動のなかで、MISPへ登録したデータを手軽に汎用的なフォーマットであるCSVファイルにエクスポートできるツールがあると、MISP以外の分析基盤や監視デバイスと連携する上で便利だと考えました。そこでこの度MISPのデータをCSVファイルにエクスポートすることができるツール「MISP-CSVExport」を作成し、GitHubで新たに公開しましたので紹介します。
MISPとは
MISPは、脅威情報の共有を目的としたオープンソースプラットフォームです。マルウェアの通信先のドメインやIPなどのサイバー攻撃をされた後に残る痕跡である、IoC(Indicator of Compromise)の蓄積と共有を目的としています。基本的な操作はWebアプリから可能ですが、APIでの操作にも対応しており、PythonからPyMISPというライブラリを使うことでAPIを利用できます。
MISPでの具体的なIoCの蓄積方法を説明します。各IoCのことをアトリビュート、複数のアトリビュートをまとめたものをイベントと呼びます。アトリビュートやイベントにはそれぞれ任意のタグをつけることができ、どういった情報なのか整理して格納しておき、必要に応じて関連する情報をまとめて参照するといった使い方ができます。
詳しくは以下のページからご確認ください。
MISP Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing
公開したスクリプトの紹介
GitHubで公開した「MISP-CSVExport」は、API経由でMISPからデータを取得し、その結果をCSVファイルにエクスポートするPythonスクリプトです。このスクリプトを使用すると、MISP上のデータを簡単なコマンド実行でCSVファイルに出力することが可能です。
またこのCSV出力に当たっては、検索条件をコマンドの引数として指定することで、必要な情報に絞った情報取得が行えます。
ツールの利用手順
続いてツールを利用する手順を説明します。
ツールのインストール
インストールは、以下の手順で可能です。
- GitHubからのリポジトリのクローン
- 必要なPythonライブラリのインストール
- 設定ファイルの作成
READMEを用意していますのでそちらの内容にそって進めることで簡単にインストールは完了します。
ツールの実行
ここまでで実行の準備は完了しています。取得したいデータの条件を指定してコマンド実行するとCSVファイルが出力されます。検索条件としては期間による絞り込みやIoCの値での検索、IPアドレスやドメイン・ハッシュなどといったデータのタイプでの絞りこみも可能です。検索条件の一覧についてはREADMEを参照ください。
以下は出力CSVのサンプルです。
値による絞り込み
以下は7月17日以降のデータで、lac.co.jpという値を持つデータを検索しています。
$ python3 misp-csvexport.py --from 20230717 -v lac.co.jp
カテゴリとタイプによる絞り込み
以下はExternal analysisのカテゴリ、URLのタイプで検索をしています。
$ python3 misp-csvexport.py --from 20230717 -c 'External analysis' -t url
さいごに
今回はMISP-CSVExportについて紹介しました。
先日、日本シーサート協議会(NCA)のワーキンググループでもこちらのツールの話をしたところ、フィードバックをいただき一部機能の改良を図ることができました。今後も引き続き、検索条件の追加や出力内容の拡充など機能強化していきたいと思っています。実際に利用いただき、お気づきの点・機能の追加要望などありましたら気軽に連絡いただけますと幸いです。
その他、当研究所の活動は以下のXで発信しております。
こちらも併せてご覧いただければ嬉しく思います。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR