重要な法的通知
本統合は、Axur プラットフォームのデータを外部プラットフォーム(MISP)へ送信します。MISP は第三者のインフラ上でホストされている場合があります。
お客様の責任範囲:
外部プラットフォームへのデータ送信が、貴社のポリシー、規制、およびデータ保護要件に準拠していることを確認すること
MISP インスタンスおよび下流(downstream)のすべてのサービスが、貴社のセキュリティおよびコンプライアンス基準を満たしていることを保証すること
ワークフロー内で使用されるすべての外部プラットフォームのデータ処理、保管、運用方法を確認すること
この統合を実装する前に、必要な承認および許可を取得すること
Axur は、外部プラットフォームのデータ処理、セキュリティ、またはコンプライアンスに関して一切の責任を負いません。本統合の使用はお客様自身の責任において行ってください。また、適用される法的および規制上の義務に整合していることを必ずご確認ください。
Axur プラットフォームは、お客様のデジタル資産に対する脅威を継続的に監視・検出します。Pull Feeds を使用すると、これらの検出結果を IOC(侵害指標)として MISP に自動的にインポートでき、Axur の脅威インテリジェンスをセキュリティ運用に活用することが可能になります。
Axur の検出情報を MISP と連携させることで、Axur が提供するインテリジェンスの価値を最大化し、既存の脅威インテリジェンスのワークフローやセキュリティツールに統合することができます。
1) Axur プラットフォームでフィードを作成する
Axur プラットフォーム上で、API キーと「Pull」配信モードの IOC フィードを作成します。
次のステップで使用するため、両方の値を手元に控えておいてください。
API キーの生成
Axur プラットフォームで API キー設定 に移動します。
新しい API キーを作成し、表示された API キーの値を安全な場所にコピーして保管してください。
注意: フィードは、API キーに紐づくユーザーがアクセス権を持つデータのみを返します。
スクリーンショット:
Pull 配信モードの IOC フィードを作成する
Axur プラットフォームで API & Integrations → Feeds に移動します。
「Add Feed(フィードを追加)」 をクリックして、新しいフィードを作成します。
フィードテンプレートの一覧が表示されます。
IOC フィードを作成する場合は、「すべての IOC 検出(All IOC detections)」 を選択するか、テンプレートを使用せずに手動で設定することもできます。
Axur プラットフォームでのフィードテンプレートの選択
配信モードを選択します。Feeds Pull を選択してください(フィードの URL を呼び出してデータを取得する方式)。
この方法は、MISP のようなスケジュール実行される統合に最適です。
Pull 配信モードの選択
フィード設定を構成します:
フィードタイプ:
IOC(侵害指標)に設定されていることを確認してください。パラメータ(任意):
ここでフィルターを追加できます。
例:type=file&confidence=high
(IOC の種類や信頼レベルで絞り込みたい場合)フィードタイトル(任意):
わかりやすい名前を付けてください。
例:
「MISP に統合するための、ファイルタイプかつ高信頼度の IOC のみを対象とした例」開始日:
過去の IOC をインポートしたい場合は、日付範囲を設定します。その他必要なフィルター:
種類、信頼レベル、日付範囲など、必要に応じて設定してください。
IOC フィードのパラメータ設定
保存すると、フィードの URL が生成されます。
この URL を MISP が使用して IOC を取得します。
重要:MISP 用に CSV 形式を設定する
MISP が要求する CSV 形式でデータを取得するためには、フィードの URL にクエリパラメータ
format=csvを追加する必要があります。
完全な URL は次のようになります:https://your-axur-instance.com/api/feeds/your-feed-id?format=csvフィード詳細ページでは、
format=csvパラメータが追加された URL を確認できます。
この完全な URL(format=csvパラメータを含む)をコピーしてください。
次のステップで MISP を設定する際に必要になります。
CSV 形式パラメータ付きフィード URL
この先(ステップ 2 以降)の設定は、すべて MISP 側で行います。
ステップ 2:MISP フィードの設定
ここからは、Axur の Pull フィードから IOC を取得するように MISP を設定します。
MISP で Feeds に移動します
(通常はメニューの「Sync Actions」または「Feeds」にあります)「Add Feed(フィードを追加)」または「New Feed(新規フィード)」 をクリックします。
フィードを次の設定で構成します:
名前(Name):
分かりやすい名前をつけてください
例:「Axur IOC インテグレーション」プロバイダー(Provider):
「Axur」または任意のプロバイダー名を入力入力ソース(Input Source):
「Network(ネットワーク)」を選択URL:
前のステップで取得した Axur フィードの完全な URL(format=csvパラメータを含む) を貼り付けますソースフォーマット(Source Format):
Simple CSV Parsed Feed を選択CSV の値フィールド(Value field(s) in the CSV):
3に設定
(CSV の 3 列目に IOC の値が含まれているため)デリミタ(Delimiter):
,を設定リクエストに付与するヘッダー(Headers to pass with requests):
認証ヘッダー(Authorization)を追加します:Authorization: Bearer YOUR_AXUR_API_KEYYOUR_AXUR_API_KEY を、お客様の実際の Axur API キーに置き換えてくださ
重要:ヘッダーの値には、「Bearer」+半角スペース+API キー を含める必要があります。例:Bearer axur_api_key_12345
i. 有効化(Enabled):
このフィードを有効にする場合は、このチェックボックスをオンにします。
j. その他の設定:
必要に応じて、作成元組織(Creating Organization)、対象イベント(Target Event) などの設定を行ってください。
すべての設定を含む MISP フィードの構成
すべての設定を完了しフィードを有効化すると、MISP は Axur フィードから IOC を定期的に取得するようになります。
パート 2:フィードのスケジュール設定
デフォルトでは、MISP はフィードを 1 日に 1 回 取得します。
Axur からより迅速に IOC を更新したい場合は、より頻繁なスケジュールを設定できます。
ステップ 3:より高速な更新のためのスケジュールタスク設定
Axur からの IOC 取り込みを高速化し、より頻繁に更新を取得するために、MISP でスケジュールタスクを設定します。
MISP で「Scheduled Tasks(スケジュールタスク)」に移動します
(通常は Administration または Server Settings 内にあります)「Add Scheduled Task(タスクを追加)」 をクリックして、新しいスケジュールタスクを作成します。
以下のようにタスクを設定します:
タイプ(Type):Feed を選択
アクション(Action):Fetch(取得) を選択
フィード(Feed):Axur のフィードを選択
(例:「Axur IOC インテグレーション」)ユーザー(User):このタスクを実行するユーザーアカウントを選択
実行間隔(Run every):頻度を設定
例:10 分有効化(Enabled):このチェックボックスをオンにしてタスクを有効化
次回実行日 / 次回実行時刻(Next Run Date / Next Run Time):即時実行する場合は空欄のまま、
または特定の日時に実行したい場合は日時を設定
フィード取得のためのスケジュールタスクの設定
これにより、Axur の新しい IOC が標準の1日1回の取得を待たずに、(この例では10分ごとに)より迅速に MISP に取り込まれるようになります。
フィードのページネーションとインポート動作の理解
Axur フィードのページネーションの仕組み
Axur のフィードは、1 回の取得につき最大 5,000 件の IOC を提供します。重要な点として、このフィードは自動的にページネーションを処理します。
最初の取得: 最初の 5,000 件の IOC を返します
2 回目の取得: 前回の取得の続きから次の 5,000 件を返します
以降の取得: 利用可能な IOC をすべて取得し終えるまで順次ページングします
フィードは各取得で同じ IOC を返しません。代わりに、IOC のコレクションを自動的に進めていき、時間の経過とともにすべての IOC が MISP に取り込まれるようになっています。
フィード設定のオプション
Axur プラットフォームでフィードを設定する際、次の項目を指定できます:
タイプ: IOC の種類でフィルタ(例:ドメイン、IP、URL)
信頼度: 信頼レベルによるフィルタ
日付範囲: 指定した期間内の IOC を取得
日付範囲設定の影響
日付範囲を過去まで広く設定した場合、フィードは数千〜数万件の IOC を提供することになります。ただし、1 回の取得で返されるのは 5,000 件のみのため、次のような動作になります:
標準スケジュール(1 日 1 回)の場合:
例:50,000 件の IOC を取り込むには、10 日間かかります(1 日あたり 5,000 件)。より短いスケジュール(例:10 分ごと)の場合:
インポート速度が大幅に向上し、1 日 1 回ではなく 10 分ごとに 5,000 件を取り込めます。
推奨事項
大量の過去データを取り込む場合は、Part 2 で説明したように短い間隔でスケジュールを設定することを推奨します。
履歴データの取り込みが完了したら、継続的な運用のためにスケジュール頻度を適切なレベルに調整できます。
テストと検証
フィード接続の確認
MISP で対象のフィード設定ページを開きます
「接続テスト(Test Connection)」 または 「フィードのプレビュー(Preview Feed)」 を使用し、
MISP が Axur フィードに正常に接続できるか確認しますIOC がプレビュー画面に表示されていることを確認します
IOC のインポート確認
フィードが実行された後(手動トリガーまたはスケジュールタスクによる)、MISP のイベントを確認します
Axur の IOC が MISP 内に正しく表示されているかチェックします
注意:MISP に取り込まれる IOC の数は、API が返す件数より少ない場合があります
(理由は「IOC インポート動作の理解」のセクションで説明したフィルタリングによるものです)
フィードステータスの監視
MISP のフィードステータス画面で、最後の取得(Last Fetch) がいつ実行されたか確認します
フィード取得に失敗した場合、エラーメッセージを確認します
認証エラーが発生している場合は、Authorization ヘッダーが正しく設定されているか を再チェックしてください
重要:IOC インポート動作の理解
統合を設定する前に、Axur フィード API が返す IOC が、必ずしもそのまま MISP に取り込まれるわけではないという点を理解しておくことが重要です。
これは設定の問題ではなく、期待される正常な動作です。
なぜ一部の IOC が MISP に表示されないのか
Axur フィード API を直接確認すると、例えば 5,000 件の IOC が返ってくる場合があります。
しかし、MISP がフィードを取得しインポートした後、MISP では 4,800 件しか表示されないことがあります。
この差は、MISP が独自の検証ルールやフィルタリングを適用するために生じるものです。
MISP はインポート処理中に以下のようなチェックを行います:
1. 重複検出(Duplicate Detection)
MISP は既に存在する IOC を自動的に検出し、重複を取り込みません。
2. フォーマット検証(Format Validation)
IOC の形式が MISP の期待する仕様に適合しない場合、その IOC は拒否されます。
3. 値の検証(Value Validation)
IOC がそのタイプに対して MISP の検証基準を満たさない場合、取り込まれません。
4. ウォーニングリスト(Warning Lists)
MISP に警告リストが設定されている場合、そのリストに一致する IOC は自動的に除外される可能性があります。
5. その他の MISP フィルタ
インスタンスの設定により、追加のルールが適用される場合があります:
組織固有のルール
タグに基づくフィルタリング
ポリシー設定
など
この動作を検証する方法
1. リモートフィードのプレビュー
MISP の「フィードプレビュー」を使用すると、MISP が初期検証を通過した IOC のみが表示されます。
2. フィードの取得・インポート処理の確認
MISP がフィードを取得して実際に IOC を取り込む際、
すべての検証とフィルタリングを適用します。
このステップで不適合 IOC が除外されるため、最終的な数が API で見た数字よりも少なくなることがあります。
なぜこれは重要なのか
もし Axur フィード API が N 件の IOC を返しているのに、
MISP に取り込まれた IOC 数がそれより少ない場合、
これは 正常で予期された動作です。
差分は、以下により MISP が除外した IOC を表します:
重複
フォーマット不一致
検証不合格
警告リストへの一致
その他のフィルタリングルール
これは MISP のデータ品質管理と重複排除の仕組みの一部であり、
MISP が定める基準に適合した、信頼性の高い IOC のみが
脅威インテリジェンス基盤に取り込まれるようになっています。
トラブルシューティング
フィードが取得されない場合
1. URL の確認
フィード URL に format=csv パラメータが含まれているか確認してください。
2. 認証の確認
Authorization ヘッダーが正しい形式で設定されていることを確認してください:
Bearer YOUR_API_KEY
3. ネットワークの確認
MISP が Axur プラットフォームの URL に到達できるかを確認してください。
4. API キーの確認
使用している Axur API キーが有効で、必要な権限を持っているか確認してください。
IOC が表示されない場合
1. フィルタリングの確認
MISP は以下を自動的にフィルタリングすることを忘れないでください:
重複
無効な形式
検証に合格しない IOC
2. フィードステータスの確認
フィードが有効になっており、正常に取得されているか確認してください。
3. 日付範囲の確認
日付フィルターを設定している場合、期待する IOC がその範囲内に含まれているか確認してください。
4. MISP のログ確認
ログにエラーや警告が記録されていないか確認してください。
インポートに時間がかかる場合
1. スケジューリングの確認
履歴データを大量にインポートしている場合、
1日1回ではなく 10分ごとの取得 など、より高頻度のスケジュールを検討してください。
2. ボリュームの確認
5,000 IOC/取得 の制限があるため、履歴データが多いと時間がかかります。
3. 進行状況の監視
フィードステータスを確認し、完了した取得の回数をチェックしてください。
付録:ヒントとベストプラクティス
セキュリティ
API キーを常に安全に保護すること
安全な場所に保管し、定期的にローテーションすること
フィードのフィルタリング
Axur フィード側で適切なフィルターを設定し、
ユースケースに関連する IOC のみを取り込むようにします:
タイプ(例:ドメイン、IP、URL)
信頼度レベル
日付範囲
スケジュール最適化
高頻度の取得は高速更新が可能
しかしシステムリソースの消費が増える
バランスの取れた設定を行うことが重要
モニタリング
フィードステータス
成功/失敗率
ログ
を定期的に監視し、統合が正常に動作していることを確認してください。
バリデーションの理解
MISP が独自の検証とフィルタリングを行うのは正常な動作です。
API の IOC 全てが MISP に表示されるとは限りません。
履歴データのインポート
最初は高頻度でスケジュールを設定し高速に追いつく
データが最新状態になったら、
運用に適した頻度へ調整するのがおすすめです
ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊