dockerでMISPサーバー構築
インストール
https://github.com/misp/misp-docker こちらのgithubを参考に、
$ git clone https://github.com/MISP/misp-docker.git
$ cd misp-docker
$ mv template.env .env
$ docker compose runプロセスを確認してみる。
$ docker compose ps
NAME IMAGE COMMAND SERVICE CREATED STATUS PORTS
misp-docker-db-1 mariadb:10.11 "docker-entrypoint.s…" db 21 seconds ago Up 20 seconds 3306/tcp
misp-docker-mail-1 ixdotai/smtp "/bin/entrypoint.sh …" mail 21 seconds ago Up 20 seconds 25/tcp
misp-docker-misp-core-1 ghcr.io/misp/misp-docker/misp-core:latest "/entrypoint.sh" misp-core 21 seconds ago Up 20 seconds 0.0.0.0:80->80/tcp, :::80->80/tcp, 0.0.0.0:443->443/tcp, :::443->443/tcp
misp-docker-misp-modules-1 ghcr.io/misp/misp-docker/misp-modules:latest "/usr/local/bin/misp…" misp-modules 21 seconds ago Up 20 seconds
misp-docker-redis-1 redis:7.2 "docker-entrypoint.s…" redis 21 seconds ago Up 20 seconds 6379/tcpポートが80番と443番になっているのでここだけ書き換える。.envファイルを修正します。
# defaults to 'https://localhost'
BASE_URL=https://192.168.1.94:8443ブラウザで https://192.168.1.94:8443 にアクセスすると無事ログイン画面が表示されました。
Feedの設定
インストール時はまだ何もイベントが存在しません。
イベントを取り込むために、Feedの設定をする必要があります。
2つフィーダーがあるので、まずはこの2つを有効にします。
2つのチェックボックにチェックをいれて、 Enable Selected ボタンを押します。
Load default feed metadata ボタンをクリックします。
そうすると先程有効にした2つには既にチェックが入っています。
有効化されたフィーダーの読み込みの進捗状況は、jobs で確認ができます。
もしこれで、Home に戻ってもイベントが取り込まれていないようなら、先程のFeeds のページで、fetch and store all feed data ボタンを押します。
そうすると、たくさんのjobが走り、eventが取り込まれます。
起動設定
/etc/systemd/system/docker-compose-soc-misp.service を作成。
[Unit]
Description=Docker Compose SOC MISP Service
Requires=docker.service
After=docker.service
[Service]
Type=oneshot
RemainAfterExit=yes
WorkingDirectory=/home/banister/soc/misp-docker
ExecStart=docker compose up -d
ExecStop=docker compose down
TimeoutStartSec=0
[Install]
WantedBy=multi-user.target有効化
$ sudo systemctl enable docker-compose-soc-misp.serviceインストールと初期設定の完了です。
