MISP IOC ログを収集する

このドキュメントでは、Bindplane を使用して MISP（Malware Information Sharing Platform）IOC ログを Google Security Operations に取り込む方法について説明します。パーサーは、CSV 形式と JSON 形式の両方のデータを処理します。IP アドレス、ドメイン、ハッシュ、URL などの IOC 属性を抽出し、重大度、信頼度、説明などの脅威の詳細とともに統合データモデル（UDM）にマッピングします。パーサーは、入力データ内の単一の IOC エントリと複数の IOC エントリの両方を処理し、一貫性のある UDM 出力に正規化します。

始める前に

次の前提条件を満たしていることを確認してください。

• Google SecOps インスタンス。
• systemd を含む Linux ホスト。
• プロキシの背後で実行している場合は、Bindplane エージェントの要件に従ってファイアウォール ポートが開いていることを確認します。
• MISP サーバーへの特権アクセス。

Google SecOps の取り込み認証ファイルを取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定] > [収集エージェント] に移動します。
3. Ingestion Authentication File をダウンロードします。
   • Bindplane をインストールするシステムにファイルを安全に保存します。

Google SecOps のお客様 ID を取得する

1. Google SecOps コンソールにログインします。
2. [SIEM 設定]*> [プロファイル] に移動します。
3. [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。

MISP API 認証情報を取得する

1. 管理者として MISP ウェブ インターフェースにログインします。
2. [Administration] > [List Auth Keys] に移動します。
3. [認証キーを追加] をクリックします。
4. 次の構成の詳細を入力します。
   • ユーザー: キーに関連付けられているユーザー アカウントを選択します。
   • 省略可: 許可された IP: 鍵に対して許可された IP アドレスを指定します。
   • 有効期限: 有効期限を設定しない場合は空白のままにします。必要に応じて設定することもできます。
5. [送信] をクリックします。
6. API キーをコピーして安全な場所に保存します。
7. [鍵をメモしました] をクリックします。

MISP データ エクスポートを構成する

1. MISP サーバーに PyMISP をインストールします。

   pip3 install pymisp
   

2. エクスポート ディレクトリを作成します。

   sudo mkdir -p /opt/misp/scripts
   sudo mkdir -p /opt/misp/ioc_export
   

3. 認証情報ファイル /opt/misp/scripts/keys.py を作成します。

   misp_url = 'https://<MISP_SERVER_URL>'
   misp_key = '<MISP_API_KEY>'
   misp_verifycert = True
   misp_client_cert = ''
   

   • <MISP_SERVER_URL> は、MISP サーバーの URL に置き換えます。
   • <MISP_API_KEY> は、前提条件の API キーに置き換えます。

4. エクスポート スクリプト /opt/misp/scripts/misp_export.py を作成します。

   #!/usr/bin/env python3
   # -*- coding: utf-8 -*-
   import argparse
   from pymisp import ExpandedPyMISP
   from keys import misp_url, misp_key, misp_verifycert
   
   if __name__ == '__main__':
       parser = argparse.ArgumentParser(description='Export MISP IOCs to CSV format.')
       parser.add_argument("--controller", default='attributes',
                           help="Controller to use for search (events, objects, attributes)")
       parser.add_argument("--event_id",
                           help="Event ID to fetch. Without it, fetches recent data.")
       parser.add_argument("--attributes", nargs='*',
                           help="Requested attributes for CSV export")
       parser.add_argument("--misp_types", nargs='+',
                           help="MISP types to fetch (ip-src, hostname, domain, etc.)")
       parser.add_argument("--context", action='store_true',
                           help="Add event level context (tags, metadata)")
       parser.add_argument("--outfile", required=True,
                           help="Output file to write the CSV data")
       parser.add_argument("--last", required=True,
                           help="Time period: days (d), hours (h), minutes (m) - e.g., 1d, 12h, 30m")
   
       args = parser.parse_args()
   
       api = ExpandedPyMISP(misp_url, misp_key, misp_verifycert, debug=False)
   
       response = api.search(
           controller=args.controller,
           return_format='csv',
           type_attribute=args.misp_types,
           publish_timestamp=args.last,
           include_context=args.context,
           requested_attributes=args.attributes or None
       )
   
       with open(args.outfile, 'w') as response_file:
           response_file.write(response)
   

   1. スクリプトを実行可能にします。

   sudo chmod +x /opt/misp/scripts/misp_export.py
   

   MISP データ エクスポートをスケジュールする

   1. crontab を使用してスケジュール設定されたエクスポートを作成します。

   sudo crontab -e
   

5. 次の cron エントリを追加します。

   # Export different IOC types daily with context
   0 0 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/domains.csv --misp_types domain --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 1 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-src.csv --misp_types ip-src --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 2 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-dst.csv --misp_types ip-dst --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 3 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/urls.csv --misp_types url --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 4 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/sha256.csv --misp_types sha256 --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 5 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/filenames.csv --misp_types filename --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 6 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/registries.csv --misp_types regkey --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 7 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/mutexes.csv --misp_types mutex --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   

6. 必要に応じて、MISP からのフィードのプルをスケジュールします。

   23 0 * * * curl --insecure --header "Authorization: <MISP_API_KEY>" --header "Accept: application/json" --header "Content-Type: application/json" https://<MISP_SERVER_URL>/feeds/fetchFromAllFeeds
   

Bindplane エージェントをインストールする

次の手順に沿って、Linux オペレーティング システムに Bindplane エージェントをインストールします。

Linux のインストール

1. root 権限または sudo 権限でターミナルを開きます。

2. 次のコマンドを実行します。

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh
   

その他のインストール リソース

• その他のインストール オプションについては、インストール ガイドをご覧ください。

MISP ログを取り込んで Google SecOps に送信するように Bindplane エージェントを構成する

1. 構成ファイルにアクセスします。

   • config.yaml ファイルを見つけます。通常、Linux では /etc/bindplane-agent/ ディレクトリにあります。
   • テキスト エディタ（nano、vi など）を使用してファイルを開きます。

2. config.yaml ファイルを次のように編集します。

   receivers:
       filelog:
           file_path: /opt/misp/ioc_export/*.log
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'MISP_IOC'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                 - filelog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • <CUSTOMER_ID> は、前提条件の実際の顧客 ID に置き換えます。
   • /path/to/ingestion-authentication-file.json の値を、認証ファイルを保存したパスに更新します。

Bindplane エージェントを再起動して変更を適用する

1. Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。

   sudo systemctl restart observiq-otel-collector
   

UDM マッピング テーブル

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。