MISP のサイティング検索

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:9分

    • MISP インスタンスの観測事象に対してサイティング検索を行い、フィッシング攻撃や悪意のある IP や URL による通信など、特定のタイプの攻撃がネットワーク上でどの程度の頻度で発生しているのかを把握することができます。各発生は 1 回のサイティングと見なされます。

    MISP でのサイティング

    サイティングとは、インジケーター、オブジェクト、または属性が観測され、その有効性が確認されたことを示します。MISP でのサイティングは、イベントの属性に応答できるようにするシステムです。ユーザーがある属性を観測したことが容易に確認できるように設計されているため、より高い信頼性を得ることができます。一つの属性は複数回サイティングできます。
    注:
    観測事象は、MISP では属性と呼びます。

    一部の属性は、有効なサイティングではないことを意味する誤検出と見なされます。また、1 週間だけ実行されるフィッシングキャンペーンのように、特定の期間だけ有効な属性もあります。ある期間有効な属性に有効期限をアサインすることはできますが、各組織が属性にアサインできる有効期限は 1 つだけです。

    対応する MISP サーバーでローカルとしてマークされた組織のユーザーによって MISP で作成されたサイティングは、内部サイティングと呼びます。対応する MISP サーバーでリモートとしてマークされた組織のユーザーによって MISP で作成されたサイティングは、外部サイティングと呼びます。

    SIR のサイティング検索

    [Security Operations Integration - サイティング検索] ワークフローでは、サイティング検索を実行します。このワークフローは、観測事象のリストを受け入れ、実装機能を検索し、サイティング検索設定に基づいてクエリを作成し、設定されたワークフローに基づいて検索を実行します。

    サイティング検索は、アナリストが脅威のまん延を時系列で見極めるのに役立ちます。セキュリティインシデントから、個別または複数の観測事象と検索対象の日付範囲を選択できます。結果は、セキュリティインシデントのサイティングサイティング検索結果、およびサイティング検索の詳細の各関連リストに含まれます。

    インシデントの分析を始める際、Now Platform を設定して、自動的にサイティング検索を実行したり、手動で観測事象のサイティング検索を実行したりして、同じフィッシング攻撃の影響を受けている組織内の他のユーザーを特定することができます。

    MISP で自動サイティング検索を有効にする

    MISP でサイティング検索が自動的に実行されるようにし、新しい観測事象がセキュリティインシデントに関連付けられるたびに [Security Operations Integration - サイティング検索] ワークフローがトリガーされるようにします。

    始める前に

    以下を確認します。 のサイティング検索構成プロファイル MISP がアクティブです。

    必要なロール:sn_si.analyst

    このタスクについて

    有効にすると サイティング検索機能を MISP 統合構成では、新しい観測事象がセキュリティインシデントに関連付けられたときに、 MISP のサイティング検索がトリガーされます。デフォルトでは、[新しい観測事象がセキュリティインシデントに関連付けられたときに、サイティング検索を自動的に実行します (Run Sighting Search automatically when new observables are associated with the security incident)] オプションが有効になっています。

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. MISP サイティング検索データに表示する観測事象を含んでいるセキュリティインシデントを選択します。
    3. 新しい観測事象がセキュリティインシデントに関連付けられた後、作業メモを確認します。
      [Security Operations Integrations - サイティング検索] ワークフローがトリガーされると、作業メモが投稿されます。

      以下の例は、作業メモセクションを示しています。

      作業メモを表示し、[サイティング検索] ワークフローがトリガーされたかどうかを確認します。
    4. ワークフロー実行後、すべてのイベント (グローバル) で観測され、内部発生回数および外部発生回数ごとに分類された観測事象の集計情報を表示します。
      サイティングサイティング検索結果、およびサイティング検索の詳細の関連リストに情報を表示します。以下の例では、サイティング関連リストに作成されたサイティング検索レコードを示しています。
      [サイティング] タブで作成されたサイティング検索レコードを表示します。
      表 : 1. サイティング検索レコード
      フィールド 説明
      作成済み サイティング検索レコードが作成された日時。
      観測事象 クエリによって検索された観測事象。
      サイティング回数 内部発生回数および外部発生回数。
      ソース 観測事象のソース。観測事象が MISP 組織からのものである場合、レコードの前に MISP の文字が入ります。
      ローカルか サイティングが内部ユーザーによって報告されたかどうかのステータス。
      サイティング検索リンク MISP インスタンス内のサイティング検索リンク。
      まとめ レコードに関連付けられているサイティングのタイプ。サイティングには、サイティング、誤検出、および有効期限の 3 つのタイプがあります。

      [サマリー] 列は、MISP integration for Security Operations がインストールされている場合にのみ表示されます。MISP 以外のソースが表示されている場合、そのレコードの [サマリー] 列にはエントリーがありません。

    MISP で手動サイティング検索を実行する

    個々のまたは複数の観測事象を選択し、Now Platform MISP integration for Security Operationsアプリケーションで手動サイティング検索を行うことで、脅威のまん延を時系列で見極めることができます。

    始める前に

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. MISP サイティング検索を実行する観測事象を含んでいるセキュリティインシデントを選択します。
    3. [すべての関連リストを表示][関連する観測事象 (Associated Observables)] タブをクリックします。
    4. 観測事象を選択した後、[アクション] メニューから、[サイティング検索を実行] をクリックします。
      サイティング検索では複数の観測事象を選択できます。
      [サイティング検索を実行] ダイアログボックスが開きます。
    5. サイティング検索データを検索する日付範囲を指定します。
      表 : 2. [サイティング検索を実行] ダイアログボックス
      フィールド 説明
      前の 検索するインシデントを作成するまでの時間数または日数。

      デフォルトは 7 日です。制限は 99 時間または日です。
      次の間 検索する日付の範囲。デフォルトの日付は次のとおりです。
      • インシデントが作成された日時。
      • インシデントのオープンの 7 日前となる日時。
    6. [検索] をクリックします。
      次の例は、作業メモの手動サイティング検索結果を示しています。
      作業メモの手動サイティング検索結果

    タスクの結果

    サイティング検索レコードが作成されます。ワークフローの実行が完了すると、すべてのイベント (グローバル) で観測され、内部発生回数および外部発生回数ごとに分類された観測事象の集計情報を表示できます。集計された関連するサイティングデータは、セキュリティインシデントのサイティングサイティング検索結果、およびサイティング検索の詳細の各関連リストで表示されます。

    MISP にサイティングを報告する

    脅威データのサイティングを報告することで、データの誤検出に対応し、真陽性の脅威が発生した際の注意を喚起できます。特定の観測事象または属性について、有効期限を追加することもできます。

    始める前に

    このタスクについて

    MISP integration for Security Operations を使用すると、すべてのイベントについてグローバルに MISP にサイティングを報告できます。特定のイベントにサイティングを報告するには、MISP インスタンスを使用してローカルでサイティングを報告する必要があります。

    MISP にサイティングを報告するには、MISP インスタンスで観測事象または属性が利用可能である必要があります。

    手順

    1. 移動先 すべて > セキュリティインシデント > すべてのインシデントを表示.
    2. MISP にサイティングを報告する観測事象を含んでいるセキュリティインシデントを選択します。
    3. [すべての関連リストを表示] および [サイティング] 関連リストをクリックします。
    4. 観測事象を選択し、[アクション] メニューから次のオプションのいずれかを選択します。
      オプション説明
      MISP:観測事象のサイティングの報告 観測事象をサイティング済みとして MISP に報告します。複数のイベントに観測事象が関連付けられている場合は、すべてのイベントで更新されます。
      MISP:観測事象を誤検出として報告 観測事象を誤検出として MISP に報告します。
      MISP:観測事象を期限切れとしてレポート 観測事象を期限切れとして MISP に報告します。
      MISP ソースに固有でない観測事象を選択すると、 [アクション] メニューには関連する MISP ソースの数が表示されます。次の例は、MISP に関連する 8 つの観測事象のうち 4 つを示しています。また、[アクション] メニューと送信に関連する観測事象を示しています。
      図 : 1. 送信に関連する観測事象を表示する [アクション] メニュー
      MISP に関連する観測事象を表示する [アクション] メニュー
    5. オプション: [MISP:観測事象のサイティングの報告] オプションを選択した場合は、[観測事象のサイティングを MISP に報告] ダイアログボックスに入力する必要があります。
      表 : 3. [観測事象のサイティングを MISP に報告] ダイアログボックス
      フィールド 説明
      ソース サイティングの MISP ソースに対応しているソースフィールド。
      日付 観測事象がサイティングされた日付に対応している日付フィールド。日付が空の場合、MISP には現在の日時が入力されます。

      次の例は、セキュリティインシデントの [サイティング] 関連リストに移動する方法を示しています。このリストから、観測事象を選択し、MISP に観測事象のサイティングを報告できます。成功メッセージは、MISP にサイティングが正常に送信されたことを示しています。

      図 : 2. 観測事象のサイティングを MISP に報告
      観測事象のサイティングを MISP に報告
      1. [サイティングを報告] をクリックします。
    6. オプション: [MISP:観測事象を誤検出として報告] オプションを選択した場合は、[観測事象を誤検出として MISP に報告] ダイアログボックスのフィールドに入力する必要があります。
      表 : 4. 観測事象を誤検出として MISP に報告
      フィールド 説明
      ソース (オプション) MISP ソースに対応しているソースフィールド。このフィールドを使用して、観測事象を誤検出として宣言します。
      日付 観測事象が誤検出であることが判明した日付に対応している日付フィールド。日付が空の場合、MISP には現在の日時が入力されます。
      1. [誤検出を報告] をクリックします。
    7. オプション: [MISP:観測事象を期限切れとしてレポート] オプションを選択した場合は、[観測事象の有効期限を MISP に報告] ダイアログボックスのフィールドに入力する必要があります。
      表 : 5. [観測事象の有効期限を MISP に報告] ダイアログボックス
      フィールド 説明
      ソース MISP ソースに対応しているソースフィールド。このフィールドを使用して、観測事象を期限切れとして設定します。
      日付 観測事象が期限切れになった日付に対応している日付フィールド。日付が空の場合、MISP には現在の日時が入力されます。
      1. [有効期限を報告 (Report Expiry)] をクリックします。

    タスクの結果

    サイティングは、MISP サーバーに正常に更新されました。