Details
playbook
- Analyze Threat Intel Data
  - https[:]//raw.githubusercontent[.]com/django/django/master/setup.py
  - 151.101.112.133
- Add Artifacts
End

Details

EventID: 20
Event Time: Oct. 19, 2020, 9:54 p.m.
Rule: SOC105 - Requested T.I. URL address
Level: Security Analyst
Source Address 172.16.20.4
Source Hostname gitServer
Destination Address 151.101.112.133
Destination Hostname raw.github.com
Username gitUser
Request URL https[:]//raw.githubusercontent[.]com/django/django/master/setup.py
User Agent Wget/1.19.4 (linux-gnu)
Device Action Allowed

playbook

Analyze Threat Intel Data

Requested T.I. URL addressということなので、URLを重点的に見ていく。

https[:]//raw.githubusercontent[.]com/django/django/master/setup.py

djangoのsetupスクリプトですね。
Django overview | Django
VTで見ると、
VirusTotal: https://www.virustotal.com/gui/url/a129d9a69a5feae5c6b26dd4976fc6d6cf7fc50862f81bd79b94129990f1816c
VTでは登録されていない。他のHybrid-Analysisなどでも脅威としての登録は確認できなかった。
このスクリプトに過去にバックドアが仕組まれたことがあるから登録されているのかと思ったが、そのような事実は見つからない。
DNSがハイジャックされて、アクセス先が変わりMaliciousなファイルがダウンロードされたときにTIとして登録されたものが残っていたのだろうか。
脅威として登録されていたのは、https[:]//raw.githubusercontent[.]comの可能性もある。自身が取得できた情報の中では、URLはMaliciousではないと考える。

151.101.112.133

一応IPを確認する。
VirusTotal 1/89: https://www.virustotal.com/gui/ip-address/151.101.112.133
ip-sc: https://ip-sc.net/ja/r/151.101.112.133
VTで登録されているが1件である。また、IPはFastlyのものだ。正直Fastlyが乗っ取られるのは考えにくく、悪意のあるグループがFastlyを利用できるかも怪しいと考える。
今回のアラートはFalse Positiveの可能性が見られる。

Answer:Non-malicious

Add Artifacts

Value	Type	Comment
https[:]//raw.githubusercontent[.]com/django/django/master/setup.py	URL Address	github django
https[:]//raw.githubusercontent[.]com	URL Address	threat intel?