-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR
サイバー・グリッド・ジャパン 次世代セキュリティ技術研究所の
当研究所では、オープンソースの情報共有プラットフォームである「MISP(Malware Information Sharing Platform)」を使った脅威分析の取り組みを進めています。
過去には、MISPへの脅威情報の登録を支援するツール「MISP-CSVImport」を公開しています。
またMISP活用については、当研究所内での活用にとどまらず、脅威情報共有体制であるSecureGRIDアライアンスの運営や外部組織に対するMISP活用の支援なども行っています。
さらに詳しく知るにはこちら
SecureGRIDアライアンスこれらの活動のなかで、MISPへ登録したデータを手軽に汎用的なフォーマットであるCSVファイルにエクスポートできるツールがあると、MISP以外の分析基盤や監視デバイスと連携する上で便利だと考えました。そこでこの度MISPのデータをCSVファイルにエクスポートすることができるツール「MISP-CSVExport」を作成し、GitHubで新たに公開しましたので紹介します。
MISPとは
MISPは、脅威情報の共有を目的としたオープンソースプラットフォームです。マルウェアの通信先のドメインやIPなどのサイバー攻撃をされた後に残る痕跡である、IoC(Indicator of Compromise)の蓄積と共有を目的としています。基本的な操作はWebアプリから可能ですが、APIでの操作にも対応しており、PythonからPyMISPというライブラリを使うことでAPIを利用できます。
MISPでの具体的なIoCの蓄積方法を説明します。各IoCのことをアトリビュート、複数のアトリビュートをまとめたものをイベントと呼びます。アトリビュートやイベントにはそれぞれ任意のタグをつけることができ、どういった情報なのか整理して格納しておき、必要に応じて関連する情報をまとめて参照するといった使い方ができます。
詳しくは以下のページからご確認ください。
MISP Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing
公開したスクリプトの紹介
GitHubで公開した「MISP-CSVExport」は、API経由でMISPからデータを取得し、その結果をCSVファイルにエクスポートするPythonスクリプトです。このスクリプトを使用すると、MISP上のデータを簡単なコマンド実行でCSVファイルに出力することが可能です。
またこのCSV出力に当たっては、検索条件をコマンドの引数として指定することで、必要な情報に絞った情報取得が行えます。
ツールの利用手順
続いてツールを利用する手順を説明します。
ツールのインストール
インストールは、以下の手順で可能です。
- GitHubからのリポジトリのクローン
- 必要なPythonライブラリのインストール
- 設定ファイルの作成
READMEを用意していますのでそちらの内容にそって進めることで簡単にインストールは完了します。
ツールの実行
ここまでで実行の準備は完了しています。取得したいデータの条件を指定してコマンド実行するとCSVファイルが出力されます。検索条件としては期間による絞り込みやIoCの値での検索、IPアドレスやドメイン・ハッシュなどといったデータのタイプでの絞りこみも可能です。検索条件の一覧についてはREADMEを参照ください。
以下は出力CSVのサンプルです。
値による絞り込み
以下は7月17日以降のデータで、lac.co.jpという値を持つデータを検索しています。
$ python3 misp-csvexport.py --from 20230717 -v lac.co.jp
カテゴリとタイプによる絞り込み
以下はExternal analysisのカテゴリ、URLのタイプで検索をしています。
$ python3 misp-csvexport.py --from 20230717 -c 'External analysis' -t url
さいごに
今回はMISP-CSVExportについて紹介しました。
先日、日本シーサート協議会(NCA)のワーキンググループでもこちらのツールの話をしたところ、フィードバックをいただき一部機能の改良を図ることができました。今後も引き続き、検索条件の追加や出力内容の拡充など機能強化していきたいと思っています。実際に利用いただき、お気づきの点・機能の追加要望などありましたら気軽に連絡いただけますと幸いです。
その他、当研究所の活動は以下のXで発信しております。
こちらも併せてご覧いただければ嬉しく思います。
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR