Threat Intelligence: установка лаборатории MISP

Дата: 20.08.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Threat Intelligence: установка лаборатории MISP

В этой статье подробно говорится о том, как установить лабораторию MISP и какие возможности она в себе заключает. Будет описан сам механизм установки и приведен практический пример.

MISP — это платформа с открытым исходным кодом для анализа угроз и обмена информацией (ранее известна как платформа для обмена информацией о вредоносных программах). Она используется для сбора, хранения, распространения и обмена показателями кибербезопасности и угрозами об инцидентах в этой сфере при анализе вредоносных программ.

MISP предоставляет пользователям средства для поддержки обмена информацией, а также ее потребления сетевыми системами обнаружения вторжений (NIDS), системой обнаружения вторжений на основе журналов (LIDS), а также инструментами анализа журналов (SIEMs).

  • MISP обеспечивает хранение технической и дополнительной информации о замеченных вредоносных программах и атаках.
  • Автоматически создает связи между вредоносными программами и их атрибутами.
  • Он хранит все данные об атрибутах угроз в структурированном формате.
  • Делится атрибутами угроз и вредоносными данными по умолчанию с другими доверенными группами.
  • MISP способен улучшить обнаружение вредоносных программ и реверсирование для содействия обмену информацией между организациями (например, избегать дублирования работ).
  • MISP хранит всю информацию из других экземпляров локально (обеспечивая конфиденциальность запросов).
Threat Intelligence: установка лаборатории MISP

Для настройки MISP на своей платформе Ubuntu необходимо выполнить некоторые предварительные подготовления для установки.

  • Ubuntu 20.04.1;
  • Mysql;
  • Создание non-root пользователя.

Установка MISP и других компонентов

Стоит начать установку с обновления системы и других важных апдейтов.

sudo apt-get update -y && sudo apt-get upgrade -y
Threat Intelligence: установка лаборатории MISP

MISP требует наличия Mysql-клиента на машине пользователя. Следует установить Mysql-клиент, используя приведенную ниже команду.

sudo apt-get install mysql-client -y
Threat Intelligence: установка лаборатории MISP

Чтобы установить MISP на Ubuntu 20.04.1, все, что пользователю нужно сделать, это следующее (описано ниже).

Главное помнить одну вещь: автоматический скрипт Bash не может работать с правами Root. Его необходимо запустить от лица Non-root пользователя.

Установка MISP с помощью install.sh

curl https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh -o misp_install.sh
Threat Intelligence: установка лаборатории MISP

Пользователю нужно изменить разрешения файла misp_install.sh и сделать его исполняемым. Для этого следует выполнить следующую команду. Скрипту будет необходимо некоторое время для установки MISP на платформе Ubuntu.

chmod +x misp_install.sh
./misp_install.sh -A
Threat Intelligence: установка лаборатории MISP

В середине установки надо нажать на кнопку “Y”, чтобы создать нового пользователя MISP.

Threat Intelligence: установка лаборатории MISP

Теперь пользователь уже добавит правило относительно межсетевого экрана, которое позволит использовать порты 80/tcp и 443/tcp.

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Threat Intelligence: установка лаборатории MISP

После установки MISP пользователь сможет использовать браузер для подключения к MISP.

По умолчанию MISP просматривает loopback address или базовый URL-адрес. Для получения доступа к программе в своем браузере необходимо перейти по следующему URL-адресу:

https://127.0.0.1/users/login
Threat Intelligence: установка лаборатории MISP

Учетные данные по умолчанию

  • Для веб-интерфейса MISP -> [email protected]:admin
  • Для системы -> misp:Password1234
Threat Intelligence: установка лаборатории MISP

Изменение пароля администратора

Нужно ввести новый пароль.

Этот пароль должен быть в стандартной форме. Минимальная длина пароля — не менее 12 символов, содержащих прописные и строчные буквы алфавита, специальные знаки и числовые значения.

К примеру: [email protected].

Threat Intelligence: установка лаборатории MISP

Пользователь может проверить свои учетные данные, перейдя по ссылке:

https://127.0.0.1/users/view/1

Или перейдя в раздел «Мой профиль» на панели администрирования MISP.

Threat Intelligence: установка лаборатории MISP

Создание организации

Здесь пользователю следует перейти в раздел «Администрирование» и выбрать опцию «Добавление организации».

Threat Intelligence: установка лаборатории MISP
  • Выбрать администрирование > добавить организации;
  • Ввести < название организации > в идентификатор организации;
  • Выбрать пункт «Сгенерировать UUID»;
  • Нажать на кнопку «Отправить» в нижней части экрана.
Threat Intelligence: установка лаборатории MISP

Пользователь также имеет возможность проверить наличие экземпляров его локальных организаций, перейдя к списку организаций в разделе «Администрирование».

Threat Intelligence: установка лаборатории MISP

Создать администратора для новой организации

Пользователь успешно создал организацию. Настала пора назначить ей администратора: все, что нужно сделать, это перейти в раздел «Добавить пользователя” в разделе» Администрирование”.

Администрирование > Добавить пользователя

Threat Intelligence: установка лаборатории MISP
  • Ввести “[email protected]<fqdn>” в поле email;
  • Проверить пароль: он должен быть в стандартной форме, удовлетворяющей минимальным его требованиям;
  • Выбрать <новое имя организации> для организации;
  • Выбрать роль для новой организации;
  • Нажать на кнопку «Отправить» в нижней части экрана.
Threat Intelligence: установка лаборатории MISP

Пользователь также имеет возможность проверить права экземпляра его локальных организаций, перейдя к списку организаций в разделе «Администрирование».

Threat Intelligence: установка лаборатории MISP

Создание пользователя API для новой организации

  • Администрирование > Добавить пользователя;
  • Ввести «[email protected]<fqdn>» для электронной почты;
  • Выбрать  <новое название организации > для организации;
  • Выбрать роль «пользователь» для новой организации;
  • Нажать на кнопку «Отправить» в нижней части экрана.
Threat Intelligence: установка лаборатории MISP

Включение каналов об угрозах от Intel

Чтобы включить каналы, пользователю нужно будет войти в консоль MISP с учетной записью суперпользователя, которой является аккаунт [email protected]/

Этот вариант немного специфический, так как пользователь может перейти на вкладку “Sync actions”, чтобы выстроить панель.

Threat Intelligence: установка лаборатории MISP

При переходе на вкладку “Sync actions” нужно выбрать опцию «Список каналов».

Там пользователь сможет найти такие каналы, как CIRCL osint и другие.

Threat Intelligence: установка лаборатории MISP

Затем нужно перейти к кнопке «Редактировать»:

  • Проверить «Enabled»;
  • Проверить «Видимость поиска»;
  • Установить флажок «Кэширование включено»;
  • Выбрать пункт «Изменить» в нижней части экрана.
blank

При редактировании каналов пользователю стоит перейти на вкладку «Извлечение и хранение всех данных каналов».

blank

Отлично! Пользователь успешно включил каналы по обнаружению угроз от Intel.

Настройка Ipython+PyMISP

PyMISP — это библиотека Python для получения доступа к платформам MISP с помощью REST API.

PyMISP способна на извлечение, добавление и обновление событий и параметров, работы с образцами, поиск по атрибутам. PYMISP API используется для хранения индикаторов компромисса (IOCs) в MISP и запросов IOCs из MISP.

В консоли MISP пользователю необходимо перейти в раздел «Администрирование» и выбрать пункт «Список пользователей».

Он будет искать “ [email protected]<fqdn>” и скопирует «Ключ авторизации».

Теперь стоит открыть терминал и начать настройку Ipython & PyMISP.

Для этого нужно выполнить следующую команду:

pip3 install ipython
pip3 install -U pymisp
blank

Подключение программы MISP к PyMISP

Ipython

Ipython — это альтеративный интерпретатор Python, представляющий собой интерактивную оболочку, используемую для вычислений. Пользователю следует загрузить интерпретатор Ipython и начать писать скрипты. Чтобы сделать это, необходимо следовать приведенным ниже командам. Также нужно запомнить одну вещь: не стоит выходить из любого интерпретатора Python до конца работы (это касается и Ipython).

ipython
from pymisp import ExpandedPyMISP
misp_url = 'https://<FQDN of MISP>'
misp_key = "<Enter MISP API key>"
misp_verifycert = False
misp = ExpandedPyMISP(misp_url, misp_key, misp_verifycert)
blank

Создание события MISP

События MISP — это инкапсуляция контекстно связанной информации. Связанная информация будет включать в себя такие вещи, как домены, хэши файлов, IP-адреса, вредоносные двоичные файлы. Пользователь собирается вызвать объект с именем «Event from notebook 2». Чтобы сделать это, ему надо выполнить следующую команду.

from pymisp import ExpandedPyMISP, PyMISP, MISPEvent
event_obj = MISPEvent()
event_obj.distribution = 1
event_obj.threat_level_id = 1
event_obj.analysis = 1
event_obj.info = "Event from notebook 2"
# Add event to MISP
event = misp.add_event(event_obj)
event_id, event_uuid = event['Event']['id'], event['Event']['uuid']
print (event_id, event_uuid)
blank

Добавление объекта к событию MISP

Создание нового генератора объектов MISP должно выполняться с использованием заранее определенного шаблона для их наследования. Новый генератор MISP должен генерировать атрибуты и добавлять их в качестве свойств класса с помощью дополнительных атрибутов. Когда объект MISP отправляется, все свойства класса будут поставляться на экспорт в JSON. Атрибуты в MISP могут быть сетевыми индикаторами, такими как IP-адрес, системные индикаторы (например, строка в памяти) или реквизиты банковского счета.

Для его создания пользователю необходимо выполнить следующую команду:

from pymisp import MISPAttribute
# Define attributes
attr_type = "ip-src"
value = "8.8.8.8"
category = "Network activity"
to_ids = False
# Create attribute object
attribute = MISPAttribute()
attribute.type = attr_type
attribute.value = value
attribute.category = category
attribute.to_ids = to_ids
# Add attributes to event
attribute_to_change = misp.add_attribute(event_id, attribute)
# Print event
print(attribute_to_change['Attribute']['id'], attribute_to_change)
blank

Поиск MISP для IOC

Пользователю стоит поискать IOC в интерпретаторе MISP Ipython. Для этого он выполнит следующую команду:

misp.search(controller=’attributes’, type_attribute=”ip-src”, value=”8.8.8.8″)
blank

Отлично, теперь у пользователя есть полностью установленный MISP на платформе Ubuntu.

Мониторинг угроз

Стоит проверить, что происходит на приборной панели MISP.

Этот будет очень важно, пользователь может перейти на вкладку “Аудит”, чтобы выстроить его панель.

При переходе на эту вкладку ему следует выбрать опцию “Список журналов”.

blank

Но этого недостаточно 🙂

Как видно на картинке, теперь у пользователя есть прямой доступ ко всем журналам, связанным с состоянием угроз.

Например, он может отслеживать незаконные атаки.

Аналогично, пользователь способен выполнять анализ вредоносных программ с различных серверов, а также просматривать журналы системы обнаружения сетевых вторжений (NIDS), LIDS, Log analysis Tools, SIEMs.

blank

Здорово! Теперь панель доступна в личном кабинете.

Обновление MISP в будущем для установки новых версий

Настоятельно рекомендуется обновлять MISP через веб-интерфейс.

В общем обновление MISP между его релизами, например, 2.4.50 — > 2.4.53, происходит с помощью следующей команды, которая должна выполняться как root.

Чтобы получить последнюю версию, пользователю надо ввести следующую команду:

cd /var/www/MISP
sudo -u www-data git pull origin 2.4
sudo -u www-data git submodule update –init –recursive

Автор переведенной статьи: Vijay.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *