В информационной безопасности сложно переоценить важность обмена и анализа информации об угрозах. Для этих целей многие специалисты используют MISP — платформу, которая позволяет эффективно хранить, делиться и анализировать индикаторы компрометации (IOC). Сегодня покажу, как установить и настроить MISP с использованием Docker и интегрировать его с другими инструментами, такими как OpenCTI.
Еще по теме: Установка OpenVAS в Docker
Что такое MISP
MISP (Malware Information Sharing Platform) — это платформа для обмена, хранения индикаторов компрометации (IOC) целевых атак, информации о киберугрозах, финансовых мошенничествах, уязвимостях и даже контртеррористической информации. Сегодня многие организации используют MISP не только для хранения и совместной работы над кибербезопасностью и анализа вредоносного ПО, но и для использования IOC и информации для обнаружения и предотвращения атак, мошенничества и угроз в отношении ИТ-инфраструктур, организаций и людей.
MISP — отличный источник OSINT, который можно использовать вместе с другими инструментами кибербезопасности. Например, MISP может передавать данные в Wazuh (см. Защита локальной сети с помощью Wazuh), для обнаружения опасных доменов и IP-адресов.
Также MISP может служить источником информации об угрозах для OpenCTI.
Установка MISP
Существует несколько способов развертывания MISP. Я покажу, как это сделать с помощью Docker. Для этого нам потребуется:
- Сервер на Linux (Ubuntu/Rocky).
- Установленный Docker.
- Установленный Git.
Подключитесь к Linux серверу и клонируйте репозиторий:
1 |
git clone https://github.com/andrewblooman/medium.git |
Перейдите в директорию MISP:
1 |
cd misp/misp-docker |
Здесь вы увидите файлы, которые необходимо проверить командой:
1 |
ls -lah |
Переименуйте файл template.env в .env и откройте его в любом текстовом редакторе (например, Vi).
Измените следующие строки, заменив email, org, password и base_url на свои данные:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
# Email/имя пользователя для учетной записи №1, по умолчанию используется стандартный email MISP (admin@admin.test) ADMIN_EMAIL=hacker@misp.io # Название организации №1, по умолчанию используется стандартное имя организации MISP (ORGNAME) ADMIN_ORG=MISPLab # Ключ API, по умолчанию генерируется автоматически ADMIN_KEY= # Пароль для пользователя, по умолчанию используется стандартный пароль MISP (admin) ADMIN_PASSWORD= # Пароль для GPG, по умолчанию используется 'passphrase' GPG_PASSPHRASE= # ID пользователя для cron задач, по умолчанию 1 (администратор) CRON_USER_ID= # Базовый URL, по умолчанию 'https://localhost' BASE_URL=https://192.168.1.9 # Сохранение настроек в базе данных, за исключением тех, что должны оставаться в config.php. true/false, по умолчанию false ENABLE_DB_SETTINGS= |
Загрузите образы командой:
1 |
docker compose pull |
После завершения загрузки образов запустите установку:
1 |
docker compose up -d |
Если у вас уже запущен Portainer на этом сервере, MISP будет отображаться как стек. Однако управление этим стеком будет ограничено, так как он был создан вне Portainer.
После настройки вы увидите, как контейнеры заполнятся.
Первоначальная настройка MISP может занять некоторое время, дайте скрипту поработать несколько минут, пока не увидите это сообщение.
Настройка MISP
После запуска MISP войдите в систему, используя почту и пароль, которые вы настроили ранее.
Для загрузки всех встроенных фидов, перейдите в раздел Sync Actions и затем Feeds, нажмите кнопку Load default feed metadata. Затем выберите все строки на странице, установите кэширование и активируйте выбранные фиды.
Когда все фиды загружены, перейдите в раздел Administration → Jobs, чтобы отслеживать их состояние.
Теперь вы должны увидеть события.
Если вы нажмете на номер идентификатора в столбце ID, вы перейдете к более подробной информации о событии.
Нажмите Administration (Администрирование), а затем List Auth Keys (Список ключей аутентификации).
Нажмите Add authentication key (Добавить ключ аутентификации).
Этот ключ будет использоваться для OpenCTI.
Для долгосрочной работы MISP я рекомендую настроить автоматическое обновление фидов с помощью команды cron:
1 |
0 1 * * * /usr/bin/curl -XPOST --insecure --header "Authorization: TOKEN_GOES_HERE" --header "Accept: application/json" --header "Content-Type: application/json" https://192.168.1.9/feeds/fetchFromAllFeeds |
Интеграция с OpenCTI
Для интеграции MISP с OpenCTI обновите файл Docker Compose или стек Portainer, добавив новый коннектор. Подробнее про установку OpenCTI мы рассказывали в статье «Как установить OpenCTI в Docker».
Пример конфигурации:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
version: '3' services: connector-misp: image: opencti/connector-misp:6.2.12 environment: - OPENCTI_URL=http://opencti:8080 - OPENCTI_TOKEN=${OPENCTI_ADMIN_TOKEN} - CONNECTOR_ID=59df189d-36b9-475e-9c36-58e333f9b38a - CONNECTOR_TYPE=EXTERNAL_IMPORT - CONNECTOR_NAME=MISP - CONNECTOR_SCOPE=misp - CONNECTOR_LOG_LEVEL=error - CONNECTOR_EXPOSE_METRICS=false - MISP_URL=https://MISP_URL - MISP_REFERENCE_URL= - MISP_KEY=MISP_API_TOKEN - MISP_SSL_VERIFY=false - MISP_DATETIME_ATTRIBUTE=timestamp - MISP_DATE_FILTER_FIELD=timestamp - MISP_CREATE_REPORTS=true - MISP_CREATE_INDICATORS=true - MISP_CREATE_OBSERVABLES=true - MISP_CREATE_OBJECT_OBSERVABLES=true - MISP_CREATE_TAGS_AS_LABELS=true - MISP_IMPORT_FROM_DATE=2000-01-01 - MISP_IMPORT_TAGS=opencti:import,type:osint,tlp:white,type:OSINT,veris:action:social:variety="Phishing",tlp:green restart: always |
Особенно обратите внимание на поле MISP_IMPORT_TAGS, где вы можете настроить теги, соответствующие вашим потребностям.
1 |
- MISP_IMPORT_TAGS=opencti:import,type:osint,tlp:white,type:OSINT,veris:action:social:variety="Phishing",tlp:green # Optional, list of tags used for import events |
Для OpenCTI это должно выглядеть так.
После обновления стека OpenCTI новый контейнер MISP будет запущен и интегрирован с OpenCTI, который начнет обрабатывать и создавать связи с существующими данными об угрозах в базе данных.
MISP — это отличная платформа, которая поможет вам начать работу в мире анализа угроз. Она отличается от OpenCTI тем, что предназначена для использования в качестве промежуточного слоя между источниками данных об угрозах и вашими инструментами безопасности. Вы можете использовать MISP для наполнения данными ваш SIEM (система, которая собирает и анализирует данные безопасности для обнаружения и реагирования на угрозы), платформы OpenCTI и SOAR (платформа для автоматизации и координации действий по реагированию на инциденты безопасности).
ПОЛЕЗНЫЕ ССЫЛКИ:
- Защита сетевого оборудования Cisco
- Защита локальной сети используя Wazuh
- Использование Wazuh с MISP для быстрого обнаружения угроз