Threat Intelligence: установка лаборатории MISP

Дата: 20.08.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности

В этой статье подробно говорится о том, как установить лабораторию MISP и какие возможности она в себе заключает. Будет описан сам механизм установки и приведен практический пример.

MISP – это платформа с открытым исходным кодом для анализа угроз и обмена информацией (ранее известна как платформа для обмена информацией о вредоносных программах). Она используется для сбора, хранения, распространения и обмена показателями кибербезопасности и угрозами об инцидентах в этой сфере при анализе вредоносных программ.

MISP предоставляет пользователям средства для поддержки обмена информацией, а также ее потребления сетевыми системами обнаружения вторжений (NIDS), системой обнаружения вторжений на основе журналов (LIDS), а также инструментами анализа журналов (SIEMs).

  • MISP обеспечивает хранение технической и дополнительной информации о замеченных вредоносных программах и атаках.
  • Автоматически создает связи между вредоносными программами и их атрибутами.
  • Он хранит все данные об атрибутах угроз в структурированном формате.
  • Делится атрибутами угроз и вредоносными данными по умолчанию с другими доверенными группами.
  • MISP способен улучшить обнаружение вредоносных программ и реверсирование для содействия обмену информацией между организациями (например, избегать дублирования работ).
  • MISP хранит всю информацию из других экземпляров локально (обеспечивая конфиденциальность запросов).

Для настройки MISP на своей платформе Ubuntu необходимо выполнить некоторые предварительные подготовления для установки.

  • Ubuntu 20.04.1;
  • Mysql;
  • Создание non-root пользователя.

Установка MISP и других компонентов

Стоит начать установку с обновления системы и других важных апдейтов.

sudo apt-get update -y && sudo apt-get upgrade -y

MISP требует наличия Mysql-клиента на машине пользователя. Следует установить Mysql-клиент, используя приведенную ниже команду.

sudo apt-get install mysql-client -y

Чтобы установить MISP на Ubuntu 20.04.1, все, что пользователю нужно сделать, это следующее (описано ниже).

Главное помнить одну вещь: автоматический скрипт Bash не может работать с правами Root. Его необходимо запустить от лица Non-root пользователя.

Установка MISP с помощью install.sh

curl https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh -o misp_install.sh

Пользователю нужно изменить разрешения файла misp_install.sh и сделать его исполняемым. Для этого следует выполнить следующую команду. Скрипту будет необходимо некоторое время для установки MISP на платформе Ubuntu.

chmod +x misp_install.sh
./misp_install.sh -A

В середине установки надо нажать на кнопку “Y”, чтобы создать нового пользователя MISP.

Теперь пользователь уже добавит правило относительно межсетевого экрана, которое позволит использовать порты 80/tcp и 443/tcp.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

После установки MISP пользователь сможет использовать браузер для подключения к MISP.

По умолчанию MISP просматривает loopback address или базовый URL-адрес. Для получения доступа к программе в своем браузере необходимо перейти по следующему URL-адресу:

https://127.0.0.1/users/login

Учетные данные по умолчанию

  • Для веб-интерфейса MISP -> admin@admin.test:admin
  • Для системы -> misp:Password1234

Изменение пароля администратора

Нужно ввести новый пароль.

Этот пароль должен быть в стандартной форме. Минимальная длина пароля – не менее 12 символов, содержащих прописные и строчные буквы алфавита, специальные знаки и числовые значения.

К примеру: Ignite@12345.

Пользователь может проверить свои учетные данные, перейдя по ссылке:

https://127.0.0.1/users/view/1

Или перейдя в раздел «Мой профиль» на панели администрирования MISP.

Создание организации

Здесь пользователю следует перейти в раздел «Администрирование» и выбрать опцию «Добавление организации».

  • Выбрать администрирование > добавить организации;
  • Ввести < название организации > в идентификатор организации;
  • Выбрать пункт «Сгенерировать UUID»;
  • Нажать на кнопку «Отправить» в нижней части экрана.

Пользователь также имеет возможность проверить наличие экземпляров его локальных организаций, перейдя к списку организаций в разделе «Администрирование».

Создать администратора для новой организации

Пользователь успешно создал организацию. Настала пора назначить ей администратора: все, что нужно сделать, это перейти в раздел “Добавить пользователя” в разделе” Администрирование”.

Администрирование > Добавить пользователя

  • Ввести “ignite@<fqdn>” в поле email;
  • Проверить пароль: он должен быть в стандартной форме, удовлетворяющей минимальным его требованиям;
  • Выбрать <новое имя организации> для организации;
  • Выбрать роль для новой организации;
  • Нажать на кнопку «Отправить» в нижней части экрана.

Пользователь также имеет возможность проверить права экземпляра его локальных организаций, перейдя к списку организаций в разделе «Администрирование».

Создание пользователя API для новой организации

  • Администрирование > Добавить пользователя;
  • Ввести «api_user@<fqdn>» для электронной почты;
  • Выбрать  <новое название организации > для организации;
  • Выбрать роль «пользователь» для новой организации;
  • Нажать на кнопку «Отправить» в нижней части экрана.

Включение каналов об угрозах от Intel

Чтобы включить каналы, пользователю нужно будет войти в консоль MISP с учетной записью суперпользователя, которой является аккаунт admin@admin.test/

Этот вариант немного специфический, так как пользователь может перейти на вкладку “Sync actions”, чтобы выстроить панель.

При переходе на вкладку “Sync actions” нужно выбрать опцию «Список каналов».

Там пользователь сможет найти такие каналы, как CIRCL osint и другие.

Затем нужно перейти к кнопке «Редактировать»:

  • Проверить «Enabled»;
  • Проверить «Видимость поиска»;
  • Установить флажок «Кэширование включено»;
  • Выбрать пункт «Изменить» в нижней части экрана.

При редактировании каналов пользователю стоит перейти на вкладку «Извлечение и хранение всех данных каналов».

Отлично! Пользователь успешно включил каналы по обнаружению угроз от Intel.

Настройка Ipython+PyMISP

PyMISP – это библиотека Python для получения доступа к платформам MISP с помощью REST API.

PyMISP способна на извлечение, добавление и обновление событий и параметров, работы с образцами, поиск по атрибутам. PYMISP API используется для хранения индикаторов компромисса (IOCs) в MISP и запросов IOCs из MISP.

В консоли MISP пользователю необходимо перейти в раздел «Администрирование» и выбрать пункт «Список пользователей».

Он будет искать “ api_user@<fqdn>” и скопирует «Ключ авторизации».

Теперь стоит открыть терминал и начать настройку Ipython & PyMISP.

Для этого нужно выполнить следующую команду:

pip3 install ipython
pip3 install -U pymisp

Подключение программы MISP к PyMISP

Ipython

Ipython – это альтеративный интерпретатор Python, представляющий собой интерактивную оболочку, используемую для вычислений. Пользователю следует загрузить интерпретатор Ipython и начать писать скрипты. Чтобы сделать это, необходимо следовать приведенным ниже командам. Также нужно запомнить одну вещь: не стоит выходить из любого интерпретатора Python до конца работы (это касается и Ipython).

ipython
from pymisp import ExpandedPyMISP
misp_url = 'https://<FQDN of MISP>'
misp_key = "<Enter MISP API key>"
misp_verifycert = False
misp = ExpandedPyMISP(misp_url, misp_key, misp_verifycert)

Создание события MISP

События MISP – это инкапсуляция контекстно связанной информации. Связанная информация будет включать в себя такие вещи, как домены, хэши файлов, IP-адреса, вредоносные двоичные файлы. Пользователь собирается вызвать объект с именем «Event from notebook 2». Чтобы сделать это, ему надо выполнить следующую команду.

from pymisp import ExpandedPyMISP, PyMISP, MISPEvent
event_obj = MISPEvent()
event_obj.distribution = 1
event_obj.threat_level_id = 1
event_obj.analysis = 1
event_obj.info = "Event from notebook 2"
# Add event to MISP
event = misp.add_event(event_obj)
event_id, event_uuid = event['Event']['id'], event['Event']['uuid']
print (event_id, event_uuid)

Добавление объекта к событию MISP

Создание нового генератора объектов MISP должно выполняться с использованием заранее определенного шаблона для их наследования. Новый генератор MISP должен генерировать атрибуты и добавлять их в качестве свойств класса с помощью дополнительных атрибутов. Когда объект MISP отправляется, все свойства класса будут поставляться на экспорт в JSON. Атрибуты в MISP могут быть сетевыми индикаторами, такими как IP-адрес, системные индикаторы (например, строка в памяти) или реквизиты банковского счета.

Для его создания пользователю необходимо выполнить следующую команду:

from pymisp import MISPAttribute
# Define attributes
attr_type = "ip-src"
value = "8.8.8.8"
category = "Network activity"
to_ids = False
# Create attribute object
attribute = MISPAttribute()
attribute.type = attr_type
attribute.value = value
attribute.category = category
attribute.to_ids = to_ids
# Add attributes to event
attribute_to_change = misp.add_attribute(event_id, attribute)
# Print event
print(attribute_to_change['Attribute']['id'], attribute_to_change)

Поиск MISP для IOC

Пользователю стоит поискать IOC в интерпретаторе MISP Ipython. Для этого он выполнит следующую команду:

misp.search(controller=’attributes’, type_attribute=”ip-src”, value=”8.8.8.8″)

Отлично, теперь у пользователя есть полностью установленный MISP на платформе Ubuntu.

Мониторинг угроз

Стоит проверить, что происходит на приборной панели MISP.

Этот будет очень важно, пользователь может перейти на вкладку “Аудит”, чтобы выстроить его панель.

При переходе на эту вкладку ему следует выбрать опцию “Список журналов”.

Но этого недостаточно 🙂

Как видно на картинке, теперь у пользователя есть прямой доступ ко всем журналам, связанным с состоянием угроз.

Например, он может отслеживать незаконные атаки.

Аналогично, пользователь способен выполнять анализ вредоносных программ с различных серверов, а также просматривать журналы системы обнаружения сетевых вторжений (NIDS), LIDS, Log analysis Tools, SIEMs.

Здорово! Теперь панель доступна в личном кабинете.

Обновление MISP в будущем для установки новых версий

Настоятельно рекомендуется обновлять MISP через веб-интерфейс.

В общем обновление MISP между его релизами, например, 2.4.50 – > 2.4.53, происходит с помощью следующей команды, которая должна выполняться как root.

Чтобы получить последнюю версию, пользователю надо ввести следующую команду:

cd /var/www/MISP
sudo -u www-data git pull origin 2.4
sudo -u www-data git submodule update –init –recursive

Автор переведенной статьи: Vijay.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *