RH-ISAC IOC ログを収集する
このドキュメントでは、サードパーティ API を使用して Google Security Operations フィードを設定し、RH-ISAC IOC(侵害の指標)ログを収集する方法について説明します。
取り込みラベルによって、未加工のログデータを構造化 UDM 形式に正規化するパーサーが識別されます。 このドキュメントの情報は、取り込みラベル RH_ISAC_IOC が付加されたパーサーに適用されます。
始める前に
次の前提条件を満たしていることを確認します。
- Google SecOps インスタンス
- MISP プラットフォームにアクセスできるアクティブな RH-ISAC コア メンバーシップ
- https://misp.rhisac.org の RH-ISAC MISP インスタンスへの特権アクセス
RH-ISAC MISP API 認証キーを生成する
Google SecOps が RH-ISAC MISP から IOC を取得できるようにするには、API 認証キーを生成する必要があります。
MISP プロファイルにアクセスする
- https://misp.rhisac.org で RH-ISAC MISP インスタンスにログインします。
- 右上にあるユーザー名をクリックして、[プロフィール] に移動します。
- または、https://misp.rhisac.org/users/view/me に直接移動します。
認証キーを作成する
- プロファイル ページで、[Auth Keys] タブを選択します。
- [認証キーを追加] をクリックします。
次の構成情報を提供してください。
- コメント: キーを識別するためのわかりやすいコメントを入力します(例:
Google SecOps Integration)。 読み取り専用: このオプションを選択します(推奨)。
許可された IP: 省略可。キーの使用を特定の IP に制限する場合は、Google SecOps の IP 範囲を入力します。
- コメント: キーを識別するためのわかりやすいコメントを入力します(例:
[送信] をクリックします。
認証キーを保存する
キーを作成すると、新しい認証キーが一度だけ表示されます。
- 認証キーをコピーして、すぐに安全な場所に保存*します。
- キーの形式は長い 16 進文字列です(例:
abc123def456...)。
必要な API 権限
RH-ISAC MISP API 認証キーは、RH-ISAC メンバーシップ ロールに基づいて次のアクセスを提供します。
| 権限 | アクセスレベル | 目的 |
|---|---|---|
| IOC を読み取る | 読み取り | 侵害インジケーターを取得する |
| イベントの読み取り | 読み取り | IOC データを含む MISP イベントを取得する |
| Read Attributes | 読み取り | 特定の IOC 属性を取得する |
| Read Tags(読み取りタグ) | 読み取り | 分類タグ(rhisac:vetted など)を取得する |
RH-ISAC IOC データの理解
RH-ISAC は、MISP プラットフォームを通じて、厳選された信頼性の高い脅威インテリジェンスを提供しています。
- 精査済みのインジケーター:
rhisac:vettedタグが付けられた IOC は、小売業とホスピタリティ業界のメンバーによって検証された高忠実度のインジケーターです。 - 拡充されたデータ: すべての IOC は、RH-ISAC の PyOTI(Python Open Threat Intelligence)フレームワークを使用して自動的に拡充されます。
- MITRE ATT&CK マッピング: イベントには、戦術、手法、手順の MITRE ATT&CK フレームワーク マッピングが含まれます。
- 脅威アクターのコンテキスト: Galaxy クラスタは、脅威アクターのアトリビューションとツールの関係を提供します。
フィードを設定する
フィードを構成する手順は次のとおりです。
- [SIEM 設定] > [フィード] に移動します。
- [Add New Feed] をクリックします。
- 次のページで [単一フィードを設定] をクリックします。
- [フィード名] フィールドに、フィードの名前を入力します(例:
RH-ISAC IOC Feed)。 - [ソースタイプ] として [サードパーティ API] を選択します。
- [ログタイプ] として [RH-ISAC] を選択します。
- [次へ] をクリックします。
次の入力パラメータの値を指定します。
- OAuth トークン エンドポイント: RH-ISAC サポートに連絡して、組織の OAuth トークン エンドポイント URL を取得します。
- OAuth クライアント ID: 組織の OAuth クライアント ID を取得するには、RH-ISAC サポートにお問い合わせください。
- OAuth クライアント シークレット: 組織の OAuth クライアント シークレットを取得するには、RH-ISAC サポートにお問い合わせください。
- アセットの名前空間: アセットの名前空間。
- Ingestion labels: このフィードのイベントに適用されるラベル。
[次へ] をクリックします。
[Finalize] 画面で新しいフィードの設定を確認し、[送信] をクリックします。
設定が完了すると、フィードは RH-ISAC MISP インスタンスから IOC を時系列順に取得し始めます。
UDM マッピング テーブル
| ログフィールド | UDM マッピング | ロジック |
|---|---|---|
Event.uuid |
metadata.event_id |
MISP イベントの固有識別子 |
Attribute.type |
security_result.category |
IOC タイプ(ip-dst、domain、md5 など) |
Attribute.value |
security_result.detection_fields |
IOC 値(例: IP アドレス、ドメイン名、ハッシュ) |
Attribute.comment |
security_result.description |
アナリストのコメントまたはコンテキスト |
Event.info |
security_result.summary |
イベントの説明またはタイトル |
Event.timestamp |
metadata.event_timestamp |
イベントの作成または変更時間 |
Attribute.category |
security_result.rule_name |
MISP 属性カテゴリ(例: ネットワーク アクティビティ、ペイロード) |
Tag.name |
security_result.detection_fields.tags |
分類タグ(rhisac:vetted、tlp:amber など) |
GalaxyCluster.value |
security_result.threat_name |
脅威アクターまたはツールの名前 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。