Установка и использование MISP для защиты от киберугроз

MISP

В информационной безопасности сложно переоценить важность обмена и анализа информации об угрозах. Для этих целей многие специалисты используют MISP — платформу, которая позволяет эффективно хранить, делиться и анализировать индикаторы компрометации (IOC). Сегодня покажу, как установить и настроить MISP с использованием Docker и интегрировать его с другими инструментами, такими как OpenCTI.

Еще по теме: Установка OpenVAS в Docker

Что такое MISP

MISP (Malware Information Sharing Platform) — это платформа для обмена, хранения индикаторов компрометации (IOC) целевых атак, информации о киберугрозах, финансовых мошенничествах, уязвимостях и даже контртеррористической информации. Сегодня многие организации используют MISP не только для хранения и совместной работы над кибербезопасностью и анализа вредоносного ПО, но и для использования IOC и информации для обнаружения и предотвращения атак, мошенничества и угроз в отношении ИТ-инфраструктур, организаций и людей.

MISP — отличный источник OSINT, который можно использовать вместе с другими инструментами кибербезопасности. Например, MISP может передавать данные в Wazuh (см. Защита локальной сети с помощью Wazuh), для обнаружения опасных доменов и IP-адресов.

Также MISP может служить источником информации об угрозах для OpenCTI.

Установка MISP

Существует несколько способов развертывания MISP. Я покажу, как это сделать с помощью Docker. Для этого нам потребуется:

  • Сервер на Linux (Ubuntu/Rocky).
  • Установленный Docker.
  • Установленный Git.

Подключитесь к Linux серверу и клонируйте репозиторий:

Перейдите в директорию MISP:

Здесь вы увидите файлы, которые необходимо проверить командой:

MISP установка

Переименуйте файл template.env в .env и откройте его в любом текстовом редакторе (например, Vi).

MISP установить Linux

Измените следующие строки, заменив email, org, password и base_url на свои данные:

Загрузите образы командой:

MISP установить

После завершения загрузки образов запустите установку:

Если у вас уже запущен Portainer на этом сервере, MISP будет отображаться как стек. Однако управление этим стеком будет ограничено, так как он был создан вне Portainer.

Как установить MISP

После настройки вы увидите, как контейнеры заполнятся.

Как установить MISP

Первоначальная настройка MISP может занять некоторое время, дайте скрипту поработать несколько минут, пока не увидите это сообщение.

Первоначальная настройка MISP
Первоначальная настройка MISP

Настройка MISP

После запуска MISP войдите в систему, используя почту и пароль, которые вы настроили ранее.

Вход MISP

Для загрузки всех встроенных фидов, перейдите в раздел Sync Actions и затем Feeds, нажмите кнопку Load default feed metadata. Затем выберите все строки на странице, установите кэширование и активируйте выбранные фиды.

Добавление фида MISP

Добавление фида MISP

Добавление фида MISP

Когда все фиды загружены, перейдите в раздел AdministrationJobs, чтобы отслеживать их состояние.

Administration → Jobs MIPS

Теперь вы должны увидеть события.

Заполнение событий misp

Если вы нажмете на номер идентификатора в столбце ID, вы перейдете к более подробной информации о событии.

Подробная информация о событии misp

Нажмите Administration (Администрирование), а затем List Auth Keys (Список ключей аутентификации).

misp Администрирование

Нажмите Add authentication key (Добавить ключ аутентификации).

misp Добавить ключ аутентификации

Этот ключ будет использоваться для OpenCTI.

misp ключ api

Для долгосрочной работы MISP я рекомендую настроить автоматическое обновление фидов с помощью команды cron:

Интеграция с OpenCTI

Для интеграции MISP с OpenCTI обновите файл Docker Compose или стек Portainer, добавив новый коннектор. Подробнее про установку OpenCTI мы рассказывали в статье «Как установить OpenCTI в Docker».

Пример конфигурации:

Особенно обратите внимание на поле MISP_IMPORT_TAGS, где вы можете настроить теги, соответствующие вашим потребностям.

Для OpenCTI это должно выглядеть так.

Интеграция с OpenCTI
Интеграция с OpenCTI

После обновления стека OpenCTI новый контейнер MISP будет запущен и интегрирован с OpenCTI, который начнет обрабатывать и создавать связи с существующими данными об угрозах в базе данных.

Интеграция с OpenCTI misp

MISP — это отличная платформа, которая поможет вам начать работу в мире анализа угроз. Она отличается от OpenCTI тем, что предназначена для использования в качестве промежуточного слоя между источниками данных об угрозах и вашими инструментами безопасности. Вы можете использовать MISP для наполнения данными ваш SIEM (система, которая собирает и анализирует данные безопасности для обнаружения и реагирования на угрозы), платформы OpenCTI и SOAR (платформа для автоматизации и координации действий по реагированию на инциденты безопасности).

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий