Teil 10. MISP-Bedrohung Intel

Dec 11 2022

Stellen Sie Ihre eigenen Bedrohungsinformationen in weniger als 10 Minuten bereit! TEIL EINS: Backend-Speicher TEIL ZWEI: Protokollaufnahme TEIL DREI: Protokollanalyse TEIL VIER: Installation des Wazuh-Agenten TEIL FÜNF: Intelligente SIEM-Protokollierung TEIL SECHS: Beste Open-Source-SIEM-Dashboards TEIL SIEBEN: Erfassung von Firewall-Protokollen leicht gemacht TEIL ACHT: Firewall-Bedrohung für Intel GreyNoise TEIL 9: Einführung in die Protokollnormalisierung Abgesehen davon, dass wir unsere Protokolle nur aufnehmen und analysieren, brauchen wir eine Möglichkeit, unsere Protokolle mit Informationen anzureichern, damit unser Analyst potenzielle bösartige Aktivitäten schnell erkennen kann. Ist beispielsweise diese IP-Adresse, die ich bei der Interaktion mit meiner Website sehe, bösartig oder nicht? Wir brauchen eine Lösung, die Folgendes kann: Was ist MISP? MISP Threat Sharing ist eine Open Source Threat Intelligence-Plattform.

Stellen Sie Ihre eigenen Bedrohungsinformationen in weniger als 10 Minuten bereit!

TEIL EINS : Backend-Speicher

TEIL ZWEI : Protokollaufnahme

TEIL DREI: Protokollanalyse

TEIL VIER: Installation des Wazuh-Agenten

TEIL FÜNF: Intelligente SIEM-Protokollierung

TEIL 6: Die besten Open-Source-SIEM-Dashboards

TEIL SIEBEN: Sammlung von Firewall-Protokollen leicht gemacht

TEIL 8: Firewall-Bedrohung Intel mit GreyNoise

TEIL 9: Protokollnormalisierung

Einleitung

Abgesehen davon, dass wir unsere Protokolle nur aufnehmen und analysieren, brauchen wir eine Möglichkeit, unsere Protokolle mit Informationen anzureichern, damit unser Analyst potenzielle böswillige Aktivitäten schnell erkennen kann. Ist beispielsweise diese IP-Adresse, die ich bei der Interaktion mit meiner Website sehe, bösartig oder nicht? Wir brauchen eine Lösung, die Folgendes kann:

Enrich erhielt Protokolle mit Bedrohungsinformationen, die von verschiedenen Anbietern gesammelt wurden.
Analysieren und speichern Sie ausgewählte Antworten, sodass nur wichtige Daten gespeichert werden.
Automatisiert, damit Ihre SOC-Analysten nicht manuell versuchen müssen, empfangene Protokolle anzureichern.

Was ist MISP ?

MISP Threat Sharing ist eine Open Source Threat Intelligence-Plattform. Das Projekt entwickelt Dienstprogramme und Dokumentationen für eine effektivere Bedrohungsaufklärung durch den Austausch von Kompromittierungsindikatoren

MISP ermöglicht nicht nur das Speichern, Teilen und Zusammenarbeiten an Cyber-Sicherheitsindikatoren und Malware-Analysen, sondern auch die Verwendung der IoCs und Informationen, um Angriffe, Betrug oder Bedrohungen gegen IKT-Infrastrukturen, Organisationen oder Personen zu erkennen und zu verhindern.

Einige der enthaltenen Funktionen sind:

Eine effiziente IoC- und Indikatoren-Datenbank, die es ermöglicht, technische und nicht-technische Informationen über Malware-Beispiele, Vorfälle, Angreifer und Informationen zu speichern.
Automatisches Finden von Korrelationen zwischen Attributen und Indikatoren aus Malware, Angriffskampagnen oder Analysen.
Flexibles Datenmodell, in dem komplexe Objekte ausgedrückt und miteinander verknüpft werden können, um Bedrohungsinformationen, Vorfälle oder verbundene Elemente auszudrücken.
Integrierte Sharing-Funktion. MISP kann automatisch Ereignisse und Attribute zwischen verschiedenen MISP synchronisieren. Erweiterte Filterfunktionen können verwendet werden, um die Freigaberichtlinien jeder Organisation zu erfüllen, einschließlich einer flexiblen Freigabegruppenkapazität und eines Verteilungsmechanismus auf Attributebene.
Intuitive Benutzeroberfläche für Endbenutzer zum Erstellen, Aktualisieren und Zusammenarbeiten an Ereignissen und Attributen/Indikatoren.
Flexibles Freitext-Importtool zur Erleichterung der Integration unstrukturierter Berichte in MISP.
Flexible API zur Integration von MISP in Ihre eigenen Lösungen. MISP ist mit PyMISP gebündelt, einer flexiblen Python-Bibliothek zum Abrufen, Hinzufügen oder Aktualisieren von Ereignisattributen, zum Umgang mit Malware-Beispielen oder zum Suchen nach Attributen.
STIX-Unterstützung: Exportieren Sie Daten im STIX-Format (XML und JSON), einschließlich Export/Import im STIX 2.0-Format.

MISP

MISP kann auf den meisten Linux-Distributionen installiert werden, und die MISP-Community hat Installationsskripts zusammengestellt, die einfach ausgeführt werden können.

https://www.misp-project.org/download/
https://misp.github.io/MISP/

Linux für das Betriebssystem
Ein Pache-HTTP-Server
M ySQL für das Verwaltungssystem für relationale Datenbanken
Programmiersprache P HP , Perl oder Python

Ein Docker-Container für MISP wird von Xavier Mertens gepflegt. Mit dieser Docker-Konfiguration können wir unsere MISP-Instanz in wenigen Minuten zum Laufen bringen!

Ich verwende einen Debian 11-Server für meinen Build, aber die Schönheit von Docker bedeutet, dass wir auf jedem Basisbetriebssystem bereitstellen können, das Docker und Docker Compose ausführen kann.

Installieren Sie Docker und Docker Compose

Unterstützte Plattformen

Aktualisieren Sie den aptPaketindex und installieren Sie Pakete, um aptdie Verwendung eines Repositorys über HTTPS zu ermöglichen:

sudo apt-get update
sudo apt-get install \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin
sudo docker run hello-world

Rufen Sie das MISP-Docker-Repository ab:

$ git clone https://github.com/MISP/misp-docker
$ cd misp-docker

nano .env

MYSQL_HOST=misp_db
MYSQL_DATABASE=misp
MYSQL_USER=misp
MYSQL_PASSWORD=misp
MYSQL_ROOT_PASSWORD=misp

[email protected]
MISP_ADMIN_PASSPHRASE=admin
MISP_BASEURL=https://localhost

POSTFIX_RELAY_HOST=relay.fqdn
TIMEZONE=Europe/Brussels

DATA_DIR=./data

docker-compose build
or
docker compose build

docker-compose up -d
or
docker compose up -d

Feeds werden von MISP verwendet, um Bedrohungsberichte, IoCs usw. herunterzuladen. Diese Feeds enthalten alle Daten, die MISP speichert. Standardmäßig ist MISP nicht mit aktivierten Feeds konfiguriert. Wir müssen unsere Feeds importieren und für die Verwendung freigeben.

JSON-FEEDS-DATEI

Feeds importieren

Aktivieren Sie Ihre Feeds

Feeds aktivieren

Feed-Daten abrufen

Entdecken Sie Veranstaltungen

Stellen Sie Cronjob so ein, dass täglich neue Feeds heruntergeladen werden:

# Sync MISP feed daily
0 1 * * * /usr/bin/curl -XPOST --insecure --header "Authorization: **YOUR_API_KEY**" --header "Accept: application/json" --header "Content-Type: application/json" https://**YOUR_MISP_ADDRESS**/feeds/fetchFromAllFeeds

In diesem Blogbeitrag haben wir diskutiert, was MISP ist, und MISP mit Docker installiert. Anschließend haben wir MISP mit IoCs gefüllt und detailliert beschrieben, wie dieser Prozess automatisiert werden kann, damit Ihre IoCs immer auf dem neuesten Stand sind. Beginnen Sie noch heute mit Ihrer eigenen Threat Intel-Plattform mit MISP! Viel Spaß beim Verteidigen .

Brauchen Sie Hilfe?

Die in diesem Beitrag besprochenen Funktionen und vieles mehr sind über die Professional Services von SOCFortress verfügbar. Lassen Sie SOCFortress Ihnen und Ihrem Team helfen, Ihre Infrastruktur sicher zu halten.