MISP で集めたIoCをうまくSplunkで活用できないかと思い、まずはSplunk上で MISP からとってきた特定イベントの IoC(MD5)を表示させてみました。
なお、これから説明する手順の前準備として、SplunkとMISPを連携させる為に、MISPのApp(MISP42)をSplunkにインストールしています。
1.MISPのインスタンスを作成
MISPのAppのメニューバーから「設定」を選択後、「追加」ボタンを押します。
すると以下の設定画面が表示されますので、MISPの「URL」「API Key」を設定します。
なお「Check MISP Certificate」のチェックは今回テスト利用の為、外しておきました。
2.MISPのイベントIDを検索
MISPのAppのメニューバーの「MISP CUSTOME COMMAND」のプルダウンから「MISP custome command mispgetioc」を選択すると以下の画面が表示されます。
今回は赤枠の「misp instance」「eventid」「タイプ」を設定し「実行」ボタンを押してます。
すると画面の下の方に検索結果が表示され、MISP と同じ情報が表示されていることが確認できました。
これとSplunkのログを突き合わせることができれば、悪性のIoCをキーにアラートが出せそうです。
コメントを残す