MISPのセットアップ

Metemcyberは、MISP というオープンソースの脅威情報共有プラットフォームを用いてCTIの共有を実現します。

MISPは、脅威インテリジェンスを蓄積・共有・関連づけを行うオープンソースソフトウェアです。

組織はMISPを活用することで、脅威インテリジェンスを効率的に蓄積・共有し、脅威インテリジェンスを活用したセキュリティオペレーションを実施することができます。

MISPの詳細を知りたい場合は、MISP公式サイトの解説 、もしくは公式サイトのトレーニング資料や講演資料などを参考にしてください。

• MISP公式サイト

• Githubのtrainingレポジトリ

このページでは、MISPの概要、インストール方法、イベントの作成方法について紹介いたします。

MISPのインストール

MISPのインストール方法は、MISP公式ページ に記載されています。

インストール方法は、いくつかの選択肢があります。

公式のインストールガイドを使う場合

サーバ上に直接MISPをインストールする場合は、MISP公式が提供する MISP Install Documentation に従います。

例として、Ubuntu 18.04の場合は以下のコマンドでインストール可能です。

# インストールスクリプトのダウンロード
wget -O /tmp/INSTALL.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh
# インストールスクリプトの実行
bash /tmp/INSTALL.sh

dockerを使う方法

MISPのdockerイメージはいくつか公式サイトで紹介されていますが、現在は docker-misp を利用するのがよいでしょう。

docker-mispのREADMEにしたがってセットアップを行うことで、MISP環境をdockerで構築することができます。