カスタム MISP API フィードの設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:3分

    • Malware Information Sharing Platform (MISP) API フィードを使用すると、MISP サーバーからのイベントを、関連する属性およびオブジェクトとともに TISC ライブラリにインポートできます。

    始める前に

    必要なロール:sn_sec_tisc.admin

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター > 統合.
    2. [カスタム] を選択します。
      注:
      デフォルトでは、 MISP フィードは非アクティブです。フィードを有効にするには、 構成 を編集する必要があります。
      MISPを含む脅威インテリジェンスフィードを表示する統合インターフェイスフィードが有効で、CrowdStrike フィードが非アクティブです。
    3. MISP フィードカードの [編集] ボタンを選択します。
    4. [ 構成の詳細 ] セクションに移動します。
    5. [REST エンドポイント URL] フィールドを更新します。
    6. MISPサーバーに必要な認証の詳細を追加します (存在する場合)。
    7. [ 追加の設定 ] に移動して、 MISPからデータをフェッチするためのフィルターを構成します。

      MISP フィード:追加の設定

      [ 追加の設定] タブを使用して、取り込む MISP イベントを決定するフィルターを設定します。

    8. [ 設定を編集] を選択します。

      [作成者組織]、[タグ名]、[脅威レベル]、[配布レベル] フィールドなど、MISPイベントのフィルターが表示されている [追加設定を編集] ダイアログ。

    9. 必要なフィルターを選択します。
      注:
      構成されたすべてのフィルターは、イベントの取り込み中に併せて適用されます。
      次のセクションでは、利用可能な各オプションについて説明します。次の表の各オプションを確認して、TISCライブラリに取り込まれるMISPイベントをフィルターによって最適化する方法を理解してください。
    10. 次の利用可能なフィルターから必要な値を選択します。
      表 : 1. 追加の設定を編集
      フィールド 説明
      イベントのフィルター
      未公開のイベントを含める 未公開のイベントを含める場合は、このチェックボックスをオンにします。
      作成者の組織名または ID イベントに関連付けられた組織名や ID のカンマ区切りリストを入力します。
      注:
      組織名の先頭または末尾にスペースが含まれている場合は、適切に処理されていることを確認するために、名前を二重引用符で囲んでください。
      タグ名または ID イベントに関連付けられたタグ名やタグ ID のカンマ区切りリストを入力します。
      脅威レベル 受信イベントをフィルタリングする脅威レベルを選択します。このフィールドを空のままにすると、すべての脅威レベルのイベントが含まれます。
      配布レベル イベントを制限する配布レベルを選択します。このフィールドを空のままにすると、すべての配布レベルのイベントが含まれます。
      注:

      前の手順に従って [追加設定] を定義したら、別のフィードを作成するときにそのフィードを複製できます。詳細については、ステップ 13 を参照してください。

    11. [追加設定] ダイアログボックスで [更新] を選択して、変更した追加設定を保存します。
    12. MISPイベントを含めるためのMISPフィードを有効にするには、[有効にする] を選択します。

      TISC アプリケーションは、[データのフェッチ元 (Fetch data from)] フィールドに設定された日付を、イベントと関連属性を取得するためのベースラインとして使用します。

      [ データのフェッチ元 ] 日付によって、取得するイベントと関連属性が決まります。 TISC は、イベントステータスに基づいて、この日付を特定のタイムスタンプと比較します。

      • 公開されたイベント: 公開されたタイムスタンプと比較されます。
      • 未公開のイベント: 最終更新日のタイムスタンプと比較されます。

      イベントは、関連するタイムスタンプが設定された [データのフェッチ開始 日] より後の場合にのみ取得されます。

      各イベントステータスに適切なタイムスタンプを使用することで、新しく公開されたイベントと最近更新された未公開イベントの両方を正確に取得できます。

    13. オプション: フィードを複製するには、[ 複製 ] を選択します。
      詳細については、「重複した脅威インテリジェンスフィード」を参照してください。
      注:
      • 脅威レポートまたは脅威イベントのいずれであっても、TISCライブラリにインポートされた各MISPイベントには、関連する外部参照レコードが含まれます。
      • このレコードは [関連レコード] タブからアクセスでき、MISP サーバー上の対応する MISP イベントへの直接 URL リンクを提供します。これにより、元のイベントデータにすばやくアクセスすることもできます。
      • MISPイベントを、関連する属性およびオブジェクトとともにTISCエンティティにマッピングする方法の詳細については、「KB2197697」を参照してください。
      • KB 記事で説明されているマッピングに含まれていないエンティティタイプは、 TISC ライブラリに取り込まれません。