10부. MISP 위협 인텔
10분 안에 자신만의 위협 정보를 배포하세요!
파트 1 : 백엔드 스토리지
파트 2 : 로그 수집
파트 3: 로그 분석
파트 4: Wazuh 에이전트 설치
파트 5: 지능형 SIEM 로깅
파트 6: 최고의 오픈 소스 SIEM 대시보드
7부: 간편한 방화벽 로그 수집
파트 9: 로그 정규화
소개
로그를 수집하고 분석하는 것 외에도 분석가가 잠재적인 악의적 활동을 신속하게 발견할 수 있도록 인텔리전스로 로그를 보강하는 방법이 필요합니다. 예를 들어, 내 웹사이트와 상호 작용하는 것으로 보이는 이 IP 주소가 악의적입니까? 다음과 같은 솔루션이 필요합니다.
- 다양한 공급자로부터 수집한 위협 인텔리전스로 받은 로그를 보강합니다.
- 중요한 데이터만 저장되도록 선택한 응답을 구문 분석하고 저장합니다.
- SOC 분석가가 수신된 로그를 수동으로 보강하려고 시도할 필요가 없도록 자동화되었습니다.
MISP 란?
MISP Threat Sharing은 오픈 소스 위협 인텔리전스 플랫폼입니다. 이 프로젝트는 침해 지표를 공유하여 보다 효과적인 위협 인텔리전스를 위한 유틸리티 및 문서를 개발합니다.
MISP를 사용하면 사이버 보안 지표, 맬웨어 분석을 저장, 공유, 협업할 수 있을 뿐만 아니라 IoC 및 정보를 사용하여 ICT 인프라, 조직 또는 사람에 대한 공격, 사기 또는 위협을 탐지하고 방지할 수 있습니다.
포함된 기능 중 일부는 다음과 같습니다.
- 맬웨어 샘플, 사고, 공격자 및 인텔리전스에 대한 기술 및 비기술 정보를 저장할 수 있는 효율적인 IoC 및 지표 데이터베이스입니다.
- 멀웨어, 공격 캠페인 또는 분석의 속성과 지표 간의 관계를 자동으로 상관관계를 찾습니다.
- 위협 인텔리전스, 인시던트 또는 연결된 요소를 표현하기 위해 복잡한 개체를 함께 표현하고 연결할 수 있는 유연한 데이터 모델입니다.
- 기본 제공 공유 기능. MISP는 다른 MISP 간에 자동으로 이벤트와 속성을 동기화할 수 있습니다. 고급 필터링 기능을 사용하여 유연한 공유 그룹 용량 및 속성 수준 배포 메커니즘을 포함하여 각 조직 공유 정책을 충족할 수 있습니다.
- 최종 사용자가 이벤트 및 속성/지표를 생성, 업데이트 및 협업할 수 있는 직관적인 사용자 인터페이스입니다.
- 구조화되지 않은 보고서를 MISP에 쉽게 통합할 수 있는 유연한 자유 텍스트 가져오기 도구입니다.
- MISP를 자체 솔루션과 통합하기 위한 유연한 API. MISP는 이벤트 속성을 가져오거나 추가 또는 업데이트하고 맬웨어 샘플을 처리하거나 속성을 검색하는 유연한 Python 라이브러리인 PyMISP와 함께 번들로 제공됩니다.
- STIX 지원: STIX 2.0 형식으로 내보내기/가져오기를 포함하여 STIX 형식(XML 및 JSON)으로 데이터 내보내기.
MISP는 대부분의 Linux 배포판에 설치할 수 있으며 MISP 커뮤니티는 쉽게 실행할 수 있는 설치 스크립트를 모았습니다.
- https://www.misp-project.org/download/
- https://misp.github.io/MISP/
- 운영 체제 용 Linux
- Pache HTTP 서버
- 관계형 데이터베이스 관리 시스템 을 위한 MySQL
- P HP , Perl 또는 Python 프로그래밍 언어
MISP 용 도커 컨테이너 는 Xavier Mertens에서 관리합니다. 이 도커 구성을 사용하면 몇 분 안에 MISP 인스턴스를 실행할 수 있습니다!
내 빌드에 Debian 11 서버를 사용하고 있지만 Docker의 아름다움은 Docker 및 Docker Compose를 실행할 수 있는 모든 기본 OS에 배포할 수 있음을 의미합니다.
Docker 및 Docker Compose 설치
지원되는 플랫폼
- HTTPS를 통해 리포지토리를 사용할 수 있도록 패키지 인덱스를 업데이트하고
apt패키지를 설치합니다 .apt - MISP-Docker 저장소를 가져옵니다.
sudo apt-get update
sudo apt-get install \
ca-certificates \
curl \
gnupg \
lsb-release
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin
sudo docker run hello-world
$ git clone https://github.com/MISP/misp-docker
$ cd misp-docker
nano .env
MYSQL_HOST=misp_db
MYSQL_DATABASE=misp
MYSQL_USER=misp
MYSQL_PASSWORD=misp
MYSQL_ROOT_PASSWORD=misp
[email protected]
MISP_ADMIN_PASSPHRASE=admin
MISP_BASEURL=https://localhost
POSTFIX_RELAY_HOST=relay.fqdn
TIMEZONE=Europe/Brussels
DATA_DIR=./data
docker-compose build
or
docker compose build
docker-compose up -d
or
docker compose up -d
피드는 MISP가 위협 보고서, IoC 등을 다운로드하는 데 사용하는 것입니다. 이러한 피드에는 MISP가 저장하는 모든 데이터가 포함됩니다. 기본적으로 MISP는 활성화된 피드로 구성되지 않습니다. 사용할 피드를 가져와 활성화해야 합니다.
JSON 피드 파일
피드 활성화
피드 데이터 가져오기
이벤트 살펴보기
매일 새 피드를 다운로드하도록 Cronjob을 설정합니다.
# Sync MISP feed daily
0 1 * * * /usr/bin/curl -XPOST --insecure --header "Authorization: **YOUR_API_KEY**" --header "Accept: application/json" --header "Content-Type: application/json" https://**YOUR_MISP_ADDRESS**/feeds/fetchFromAllFeeds
이 블로그 게시물 전체에서 MISP가 무엇인지 논의하고 Docker를 사용하여 MISP를 설치했습니다. 그런 다음 MISP를 IoC로 채우고 해당 프로세스를 자동화하여 IoC를 항상 최신 상태로 유지하는 방법을 자세히 설명했습니다. 오늘 MISP를 사용하여 자체적인 Threat Intel 플랫폼을 시작하십시오! 즐거운 수비 .
도움이 필요하다?
이 게시물에서 논의한 기능 등은 SOCFortress의 전문 서비스를 통해 사용할 수 있습니다. SOCFortress가 귀하와 귀하의 팀이 인프라를 안전하게 유지할 수 있도록 도와드립니다.
웹사이트:https://www.socfortress.co/
전문적인 서비스:https://www.socfortress.co/ps.html
![연결된 목록이란 무엇입니까? [1 부]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)
