Część 10. Zagrożenie MISP Intel

Dec 11 2022

Wdróż własne dane wywiadowcze dotyczące zagrożeń w mniej niż 10 minut! CZĘŚĆ PIERWSZA: Pamięć masowa zaplecza CZĘŚĆ DRUGA: Pozyskiwanie logów CZĘŚĆ TRZECIA: Analiza logów CZĘŚĆ CZWARTA: Instalacja agenta Wazuh CZĘŚĆ PIĄTA: Inteligentne logowanie SIEM CZĘŚĆ SZÓSTA: Najlepsze pulpity nawigacyjne SIEM typu Open Source CZĘŚĆ SIÓDMA: Łatwe gromadzenie dzienników zapory CZĘŚĆ ÓSMA: Zagrożenie zapory Intel dzięki GreyNoise CZĘŚĆ DZIEWIĄTA: Wprowadzenie do normalizacji dzienników Poza samym przetwarzaniem i analizowaniem naszych dzienników potrzebujemy sposobu na wzbogacenie ich o informacje, które pomogą naszemu analitykowi szybko wykryć potencjalną złośliwą aktywność. Na przykład, czy ten adres IP, który widzę podczas interakcji z moją witryną, jest złośliwy, czy nie? Potrzebujemy rozwiązania, które potrafi: Co to jest MISP? MISP Threat Sharing to platforma analizy zagrożeń typu open source.

Wdróż własne dane wywiadowcze dotyczące zagrożeń w mniej niż 10 minut!

CZĘŚĆ PIERWSZA : Pamięć wewnętrzna

CZĘŚĆ DRUGA : Przetwarzanie dziennika

CZĘŚĆ TRZECIA: Analiza logów

CZĘŚĆ CZWARTA: Instalacja agenta Wazuh

CZĘŚĆ PIĄTA: Inteligentne logowanie SIEM

CZĘŚĆ SZÓSTA: Najlepsze pulpity nawigacyjne SIEM typu open source

CZĘŚĆ SIÓDMA: Łatwe zbieranie dzienników zapory

CZĘŚĆ ÓSMA: Zagrożenie zapory Intel przez GreyNoise

CZĘŚĆ DZIEWIĄTA: Normalizacja logów

Wprowadzenie

Oprócz przetwarzania i analizowania naszych dzienników potrzebujemy sposobu na wzbogacenie naszych dzienników o informacje, które pomogą naszemu analitykowi szybko wykryć potencjalną złośliwą aktywność. Na przykład, czy ten adres IP, który widzę podczas interakcji z moją witryną, jest złośliwy, czy nie? Potrzebujemy rozwiązania, które może:

Wzbogać otrzymane dzienniki o informacje o zagrożeniach zebrane od różnych dostawców.
Analizuj i zapisuj wybrane odpowiedzi, aby przechowywać tylko kluczowe dane.
Zautomatyzowane, dzięki czemu Twoi analitycy SOC nie muszą ręcznie próbować wzbogacać otrzymanych logów.

Co to jest MISP ?

MISP Threat Sharing to platforma analizy zagrożeń typu open source. W ramach projektu opracowywane są narzędzia i dokumentacja do skuteczniejszej analizy zagrożeń poprzez udostępnianie wskaźników naruszenia bezpieczeństwa

MISP pozwala nie tylko przechowywać, udostępniać, współpracować przy wskaźnikach bezpieczeństwa cybernetycznego, analizie złośliwego oprogramowania, ale także wykorzystywać IoC i informacje do wykrywania i zapobiegania atakom, oszustwom lub zagrożeniom dla infrastruktury teleinformatycznej, organizacji lub ludzi.

Niektóre z zawartych funkcji to:

Wydajna baza danych IoC i wskaźników umożliwiająca przechowywanie technicznych i nietechnicznych informacji o próbkach złośliwego oprogramowania, incydentach, atakujących i danych wywiadowczych.
Automatyczne znajdowanie korelacji między atrybutami a wskaźnikami ze złośliwego oprogramowania, kampanii ataków lub analiz.
Elastyczny model danych, w którym złożone obiekty mogą być wyrażane i łączone ze sobą w celu wyrażania informacji o zagrożeniach, incydentach lub połączonych elementach.
Wbudowana funkcja udostępniania. MISP może automatycznie synchronizować zdarzenia i atrybuty pomiędzy różnymi MISP. Zaawansowane funkcje filtrowania mogą być stosowane w celu spełnienia zasad udostępniania każdej organizacji, w tym elastycznej pojemności grupy udostępniania i mechanizmu dystrybucji na poziomie atrybutów.
Intuicyjny interfejs użytkownika dla użytkowników końcowych do tworzenia, aktualizowania i współpracy nad zdarzeniami i atrybutami/wskaźnikami.
Elastyczne narzędzie do importowania dowolnego tekstu ułatwiające integrację nieustrukturyzowanych raportów z MISP.
Elastyczne API do integracji MISP z własnymi rozwiązaniami. MISP jest dołączony do PyMISP, który jest elastyczną biblioteką Pythona do pobierania, dodawania lub aktualizowania atrybutów zdarzeń, obsługi próbek złośliwego oprogramowania lub wyszukiwania atrybutów.
Obsługa STIX: eksport danych w formacie STIX (XML i JSON), w tym eksport/import w formacie STIX 2.0.

MISP

MISP można zainstalować w większości dystrybucji Linuksa, a społeczność MISP stworzyła skrypty instalacyjne, które można łatwo uruchomić.

https://www.misp-project.org/download/
https://misp.github.io/MISP/

L inux dla systemu operacyjnego
Pache Serwer HTTP
My ySQL dla systemu zarządzania relacyjnymi bazami danych
Język programowania HP , Perl lub Python

Kontener dokera dla MISP jest utrzymywany przez Xaviera Mertensa. Korzystając z tej konfiguracji dokera, będziemy mogli uruchomić naszą instancję MISP w ciągu kilku minut!

Używam serwera Debian 11 do mojej kompilacji, ale piękno Dockera oznacza, że możemy wdrożyć go na dowolnym podstawowym systemie operacyjnym, który może obsługiwać Docker i Docker Compose.

Zainstaluj Docker i Docker Compose

Obsługiwane platformy

Zaktualizuj aptindeks pakietu i zainstaluj pakiety, aby umożliwić aptkorzystanie z repozytorium przez HTTPS:

sudo apt-get update
sudo apt-get install \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose-plugin
sudo docker run hello-world

Pobierz repozytorium MISP-Docker:

$ git clone https://github.com/MISP/misp-docker
$ cd misp-docker

nano .env

MYSQL_HOST=misp_db
MYSQL_DATABASE=misp
MYSQL_USER=misp
MYSQL_PASSWORD=misp
MYSQL_ROOT_PASSWORD=misp

[email protected]
MISP_ADMIN_PASSPHRASE=admin
MISP_BASEURL=https://localhost

POSTFIX_RELAY_HOST=relay.fqdn
TIMEZONE=Europe/Brussels

DATA_DIR=./data

docker-compose build
or
docker compose build

docker-compose up -d
or
docker compose up -d

Kanały są tym, czego MISP używa do pobierania raportów o zagrożeniach, IoC itp. Te kanały zawierają wszystkie dane przechowywane przez MISP. Domyślnie MISP nie jest skonfigurowany z włączonymi kanałami. Musimy zaimportować i umożliwić korzystanie z naszych kanałów.

PLIK ŹRÓDŁA JSON

Importuj kanały

Włącz swoje kanały

Włącz kanały

Pobierz dane kanału

Przeglądaj wydarzenia

Ustaw Cronjob, aby codziennie pobierał nowe kanały:

# Sync MISP feed daily
0 1 * * * /usr/bin/curl -XPOST --insecure --header "Authorization: **YOUR_API_KEY**" --header "Accept: application/json" --header "Content-Type: application/json" https://**YOUR_MISP_ADDRESS**/feeds/fetchFromAllFeeds

W tym poście na blogu omawialiśmy, czym jest MISP i instalowaliśmy MISP za pomocą Dockera. Następnie zapełniliśmy MISP IoC i wyszczególniliśmy, jak zautomatyzować ten proces, aby Twoje IoC były zawsze aktualne. Zacznij korzystać z własnej platformy firmy Intel zajmującej się zagrożeniami, korzystając z MISP już dziś! Miłej obrony .

Potrzebuję pomocy?

Funkcjonalności omówione w tym poście i wiele więcej są dostępne za pośrednictwem usług profesjonalnych SOCFortress. Pozwól SOCFortress pomóc Tobie i Twojemu zespołowi w utrzymaniu bezpieczeństwa infrastruktury.