MISPのセットアップ
Metemcyberは、MISP というオープンソースの脅威情報共有プラットフォームを用いてCTIの共有を実現します。
MISPは、脅威インテリジェンスを蓄積・共有・関連づけを行うオープンソースソフトウェアです。
組織はMISPを活用することで、脅威インテリジェンスを効率的に蓄積・共有し、脅威インテリジェンスを活用したセキュリティオペレーションを実施することができます。
MISPの詳細を知りたい場合は、MISP公式サイトの解説 、もしくは公式サイトのトレーニング資料や講演資料などを参考にしてください。
このページでは、MISPの概要、インストール方法、イベントの作成方法について紹介いたします。
MISPのインストール
MISPのインストール方法は、MISP公式ページ に記載されています。
インストール方法は、いくつかの選択肢があります。
公式のインストールガイドを使う場合
サーバ上に直接MISPをインストールする場合は、MISP公式が提供する MISP Install Documentation に従います。
例として、Ubuntu 18.04の場合は以下のコマンドでインストール可能です。
# インストールスクリプトのダウンロード wget -O /tmp/INSTALL.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh # インストールスクリプトの実行 bash /tmp/INSTALL.sh
dockerを使う方法
MISPのdockerイメージはいくつか公式サイトで紹介されていますが、現在は docker-misp を利用するのがよいでしょう。
docker-mispのREADMEにしたがってセットアップを行うことで、MISP環境をdockerで構築することができます。