10 मिनट के अंदर अपनी खुद की थ्रेट इंटेल तैनात करें!

भाग एक : बैकएंड स्टोरेज

भाग दो : अंतर्ग्रहण लॉग करें

भाग तीन: लॉग विश्लेषण

भाग चार: वज़ुह एजेंट स्थापित करें

भाग पाँच: इंटेलिजेंट सिएम लॉगिंग

भाग छह: सर्वश्रेष्ठ ओपन सोर्स सिएम डैशबोर्ड

भाग सात: फ़ायरवॉल लॉग संग्रह आसान बना दिया

भाग आठ: ग्रेनॉइज़ के साथ फायरवॉल इंटेल को ख़तरा

भाग नौ: लॉग सामान्यीकरण

पहचान

अपने लॉग्स को केवल अंतर्ग्रहण और विश्लेषण करने के अलावा, हमें अपने लॉग्स को बुद्धिमत्ता से समृद्ध करने के लिए एक तरीके की आवश्यकता है ताकि हमारे विश्लेषक संभावित दुर्भावनापूर्ण गतिविधि को शीघ्रता से पहचान सकें। उदाहरण के लिए, क्या यह आईपी पता है जिसे मैं अपनी वेबसाइट के साथ इंटरैक्ट करते हुए देखता हूं दुर्भावनापूर्ण है या नहीं? हमें एक समाधान की आवश्यकता है जो कर सकता है:

• विभिन्न प्रदाताओं से एकत्र की गई खतरे की आसूचना के साथ प्राप्त लॉग को समृद्ध करें।
• चयनित प्रतिक्रियाओं को पार्स और स्टोर करें ताकि केवल महत्वपूर्ण डेटा संग्रहीत हो।
• स्वचालित ताकि आपके एसओसी विश्लेषकों को प्राप्त लॉग को मैन्युअल रूप से समृद्ध करने का प्रयास न करना पड़े।

एमआईएसपी क्या है ?

MISP थ्रेट शेयरिंग एक ओपन सोर्स थ्रेट इंटेलिजेंस प्लेटफॉर्म है। समझौता के संकेतकों को साझा करके, अधिक प्रभावी खतरे की खुफिया जानकारी के लिए परियोजना उपयोगिताओं और प्रलेखन को विकसित करती है

एमआईएसपी न केवल साइबर सुरक्षा संकेतकों, मैलवेयर विश्लेषण पर स्टोर, शेयर, सहयोग करने की अनुमति देता है, बल्कि आईसीटी इन्फ्रास्ट्रक्चर, संगठनों या लोगों के खिलाफ हमलों, धोखाधड़ी या खतरों का पता लगाने और रोकने के लिए आईओसी और सूचना का उपयोग करने की भी अनुमति देता है।

शामिल कुछ विशेषताएं हैं:

• एक कुशल IoC और संकेतक डेटाबेस मैलवेयर नमूनों, घटनाओं, हमलावरों और खुफिया जानकारी के बारे में तकनीकी और गैर-तकनीकी जानकारी संग्रहीत करने की अनुमति देता है।
• स्वचालित सहसंबंध मैलवेयर, हमलों के अभियान या विश्लेषण से विशेषताओं और संकेतकों के बीच संबंधों को खोजता है।
• लचीला डेटा मॉडल जहां जटिल वस्तुओं को व्यक्त किया जा सकता है और खतरे की खुफिया जानकारी, घटनाओं या जुड़े तत्वों को व्यक्त करने के लिए एक साथ जोड़ा जा सकता है।
• अंतर्निहित साझाकरण कार्यक्षमता। MISP स्वचालित रूप से विभिन्न MISP के बीच घटनाओं और विशेषताओं को सिंक्रनाइज़ कर सकता है। उन्नत फ़िल्टरिंग कार्यप्रणाली का उपयोग प्रत्येक संगठन साझाकरण नीति को पूरा करने के लिए किया जा सकता है जिसमें एक लचीली साझाकरण समूह क्षमता और एक विशेषता स्तर वितरण तंत्र शामिल है।
• घटनाओं और विशेषताओं/संकेतकों को बनाने, अद्यतन करने और सहयोग करने के लिए अंतिम उपयोगकर्ताओं के लिए सहज उपयोगकर्ता-इंटरफ़ेस।
• MISP में असंरचित रिपोर्ट के एकीकरण को आसान बनाने के लिए लचीला मुक्त पाठ आयात उपकरण।
• अपने स्वयं के समाधानों के साथ MISP को एकीकृत करने के लिए लचीला API। MISP को PyMISP के साथ बंडल किया गया है जो ईवेंट विशेषताओं को लाने, जोड़ने या अपडेट करने, मैलवेयर नमूनों को संभालने या विशेषताओं की खोज करने के लिए एक लचीली पायथन लाइब्रेरी है।
• STIX समर्थन: STIX 2.0 प्रारूप में निर्यात/आयात सहित STIX प्रारूप (XML और JSON) में डेटा निर्यात करें।

MISP को अधिकांश Linux वितरणों पर स्थापित किया जा सकता है और MISP समुदाय ने ऐसी स्क्रिप्ट्स स्थापित की हैं जिन्हें आसानी से चलाया जा सकता है।

• https://www.misp-project.org/download/
• https://misp.github.io/MISP/

• ऑपरेटिंग सिस्टम के लिए एल इनक्स
• एक पैच HTTP सर्वर
• रिलेशनल डेटाबेस मैनेजमेंट सिस्टम के लिए M ySQL
• पी एचपी , पर्ल , या पायथन प्रोग्रामिंग भाषा

MISP के लिए डॉकटर कंटेनर का रखरखाव जेवियर मेर्टेंस द्वारा किया जाता है। इस डॉकर कॉन्फ़िगरेशन का उपयोग करके हम मिनटों में अपने एमआईएसपी उदाहरण के साथ चलने में सक्षम होंगे!

मैं अपने निर्माण के लिए डेबियन 11 सर्वर का उपयोग कर रहा हूं लेकिन डॉकर की सुंदरता का मतलब है कि हम किसी भी बेस ओएस पर तैनात कर सकते हैं जो डॉकर और डॉकर कंपोज़ चला सकता है।

डॉकर और डॉकर कंपोज़ स्थापित करें

समर्थित प्लेटफार्म

1. HTTPS पर रिपॉजिटरी का उपयोग aptकरने की अनुमति देने के लिए पैकेज इंडेक्स अपडेट करें और पैकेज इंस्टॉल करें:apt

sudo apt-get update
sudo apt-get install \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin
sudo docker run hello-world

2. MISP-डॉकर रेपो प्राप्त करें:

$ git clone https://github.com/MISP/misp-docker
$ cd misp-docker

nano .env

MYSQL_HOST=misp_db
MYSQL_DATABASE=misp
MYSQL_USER=misp
MYSQL_PASSWORD=misp
MYSQL_ROOT_PASSWORD=misp

[email protected]
MISP_ADMIN_PASSPHRASE=admin
MISP_BASEURL=https://localhost

POSTFIX_RELAY_HOST=relay.fqdn
TIMEZONE=Europe/Brussels

DATA_DIR=./data

docker-compose build
or
docker compose build

docker-compose up -d
or
docker compose up -d

फ़ीड वह हैं जो MISP खतरे की रिपोर्ट, IoCs, आदि को डाउनलोड करने के लिए उपयोग करता है। इन फ़ीड्स में वह सभी डेटा होता है जो MISP स्टोर करता है। डिफ़ॉल्ट रूप से MISP सक्षम फ़ीड्स के साथ कॉन्फ़िगर नहीं होता है। हमें अपने फ़ीड को उपयोग के लिए आयात और सक्षम करना चाहिए।

JSON फ़ीड फ़ाइल

अपने फ़ीड्स को सक्षम करें

फ़ीड डेटा प्राप्त करें

घटनाओं का अन्वेषण करें

रोजाना नए फीड डाउनलोड करने के लिए क्रोनजॉब सेट करें:

# Sync MISP feed daily
0 1 * * * /usr/bin/curl -XPOST --insecure --header "Authorization: **YOUR_API_KEY**" --header "Accept: application/json" --header "Content-Type: application/json" https://**YOUR_MISP_ADDRESS**/feeds/fetchFromAllFeeds

इस पूरे ब्लॉग पोस्ट में हमने चर्चा की कि MISP क्या है और Docker का उपयोग करके MISP स्थापित किया। फिर हमने MISP को IoCs के साथ आबाद किया और विस्तार से बताया कि उस प्रक्रिया को कैसे स्वचालित किया जाए ताकि आपके IoCs हमेशा अद्यतित रहें। MISP का उपयोग करके आज ही अपने खुद के थ्रेट इंटेल प्लेटफॉर्म के साथ शुरुआत करें! हैप्पी डिफेंडिंग ।

मदद की ज़रूरत है?

इस पोस्ट में चर्चा की गई कार्यक्षमता, और भी बहुत कुछ, SOCFortress की व्यावसायिक सेवाओं के माध्यम से उपलब्ध हैं। SOCFortress को आपकी और आपकी टीम को आपके बुनियादी ढांचे को सुरक्षित रखने में मदद करने दें।

वेबसाइट:https://www.socfortress.co/

व्यवसायी सेवाए:https://www.socfortress.co/ps.html