MISP サイティング検索を設定する

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:1分

    • MISP インスタンスで観測事象のサイティング検索を行うように、Now Platform を設定します。この情報をもとに、脅威の発生頻度を判断できます。

    始める前に

    このタスクについて

    [Security Operations Integration - サイティング検索] ワークフローでは、サイティング検索を実行します。このワークフローは、観測事象のリストを受け入れ、実装機能を検索し、サイティング検索設定に基づいてクエリを作成し、設定されたワークフローに基づいて検索を実行します。

    MISP integration for Security Operations は、自動サイティング検索を設定できるベースシステムのサイティング検索プロファイルを提供しています。このプロファイルを使用すると、組織の関連する観測事象サイティング情報にアクセスしたり、他の組織からの外部発生回数を確認したりすることもできます。

    手順

    1. 次のように移動する。 All (すべて) > MISP 統合 > サイティング検索構成.
    2. [New] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. [サイティング検索構成] フォーム
      フィールド 説明
      名前 機能プロファイルの名前。
      保存された検索 このオプションを選択したときに保存された検索構成。保存された検索構成クエリはサンプルクエリです。必要に応じて、自分の環境のパラメーターに置き換えて、保存された検索構成を追加で作成できます。
      サイティング検索ソース サイティング検索のソース。ソースとして MISP ログストアを選択します。
      有効 保存された検索構成を有効にするオプション。アクティブな検索構成のみがサイティング検索を実行できます。
      観測可能タイプ IP アドレス、ハッシュ値、URL、ドメイン名などの観測事象タイプ。
      検索あたりの最大観測事象の数 検索クエリから表示できる観測事象の最大数。
      検索 デフォルトの検索文字列は、$(observable) です。ただし、MISP ログストアでサポートされているパラメーターを指定して、独自の検索クエリを定義できます。
    4. [Submit] をクリックします。

    タスクの結果

    MISP サイティング検索構成プロファイルが作成されました。