MISP をインストールした初期状態だと、以下の2つのIoC Feed取得元しか登録されていません。
そこで、このFeed元を増やす方法を確認しましたので、ここに記録しておきます。
1.Feed元が書かれたJSONファイルを取得
以下のGitHubサイトにFeed元がたくさんかかれたJSONファイルがあるので、その内容をコピーします。
GitHub - MISP/app/files/feed-metadata/defaults.json https://github.com/MISP/MISP/blob/2.4/app/files/feed-metadata/defaults.json
2.JSONでFeed元の情報を取り込む
1.でコピーしたFeed元の情報を取り込む為、上のFeeds画面の左ペインから「Import Feeds from JSON」を選択します。
そして先ほどコピーしたJSONを以下のとおりペーストし「ADD」ボタンを押します。
すると以下の通りFeed元が67件読み込まれました。
3.Feed元からのデータの取り込み
あとは、Feed元リストの左にあるチェックからFeedを取り込みたい提供元を選択後、上部にある「Fetch and store all feed data」をクリックすれば取り込まれます。
なお、取り込みの状況は「Administration」-「Jobs」から以下の通り確認可能です。
4.Feed元から定期的に取り込むには
「Administration」-「Scheduled Tasks」で次の取り込み時間を指定することもできるようですが、毎回設定したいといけないように見えます。
そこで、cronjob と MISPのAPIを使った定期的なFeed元からの取り込み方法が以下のサイトに記載されていますので、興味のある方は参照してみると良いと思います。
Part 10. MISP Threat Intel(SOCFortress) https://socfortress.medium.com/part-10-misp-threat-intel-68131b18f719
コメントを残す