MISP で集めたIoCをうまくSplunkで活用できないかと思い、まずはSplunk上で MISP からとってきた特定イベントの IoC(MD5)を表示させてみました。
なお、これから説明する手順の前準備として、SplunkとMISPを連携させる為に、MISPのApp(MISP42)をSplunkにインストールしています。
1.MISPのインスタンスを作成
MISPのAppのメニューバーから「設定」を選択後、「追加」ボタンを押します。
![](https://k2-ornata.com/wp-content/uploads/2023/06/misp-splunk_ioc_search_03.jpg)
すると以下の設定画面が表示されますので、MISPの「URL」「API Key」を設定します。
なお「Check MISP Certificate」のチェックは今回テスト利用の為、外しておきました。
![](https://k2-ornata.com/wp-content/uploads/2023/06/misp-splunk_ioc_search_04.jpg)
2.MISPのイベントIDを検索
MISPのAppのメニューバーの「MISP CUSTOME COMMAND」のプルダウンから「MISP custome command mispgetioc」を選択すると以下の画面が表示されます。
今回は赤枠の「misp instance」「eventid」「タイプ」を設定し「実行」ボタンを押してます。
![](https://k2-ornata.com/wp-content/uploads/2023/06/misp-splunk_ioc_search_01.jpg)
すると画面の下の方に検索結果が表示され、MISP と同じ情報が表示されていることが確認できました。
![](https://k2-ornata.com/wp-content/uploads/2023/06/misp-splunk_ioc_search_02.jpg)
これとSplunkのログを突き合わせることができれば、悪性のIoCをキーにアラートが出せそうです。
![](http://image.moshimo.com/af-img/0068/000000004159.gif)
コメントを残す