Close

Що таке платформа MISP і як нею користуватися?

MISP (Malware Information Sharing Platform) — це спеціалізована платформа для збору та обміну інформацію про кіберзагрози (Threat Intelligence). Платформа базується на Open Source коді, нею користуються професіонали з моніторингу та реагування на кіберінциденти: SOC, CIRC, CIRT, CSIRT, CERT тощо.

Зміст статті

Проєкт MISP заснований у 2011 році програмістом Христофом Вандепласом. На сьогодні він суттєво розрісся та підтримується великою спільнотою і державними установами, зокрема Європейським Союзом. Включає десятки Git-репозиторіїв, модулів, додатків, компонентів, API-інтеграцій з іншими платформами, наприклад Maltego, TheHive.

Платформа насправді дуже розгорнута і її можна вивчати місяцями. У даній статті я розгляну лише деякі аспекти, зокрема базові принципи та ази роботи з MISP.

Встановлення MISP в Linux

Встановлення MISP

Для встановлення MISP підійдуть усі Linux-подібні операційні системи: Ubuntu, Debian, Kali та інші.

Я рекомендую розгортати MISP на окремому сервері.

Перед встановленням рекомендую обов’язково оновити систему:

sudo apt update && sudo apt upgrade -y

Інакше можливі помилки при встановленні.

Для Kali Linux команда установки виглядає наступним чином:

wget -O /tmp/misp-kali.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh && bash /tmp/misp-kali.sh

Для інших дистрибутивів можна переглянути документацію за посиланням.

Розпочавши установку, скрипт запропонує вказати домен, за яким буде доступна MISP-платформа. Можна залишити порожнім, тоді замість нього буде локальний хост: https://127.0.0.1

Саме встановлення може зайняти чимало часу, тому варто бути терплячим, адже MISP система габаритна.

Також варто переконатися, що фаєрвол не блокує порти. Якщо доступу немає, то варто додати правила:

sudo ufw allow 80/tcp 
sudo ufw allow 443/tcp

Якщо ви вказали домен, варто заглянути в /etc/hosts і переконатися, чи “слухає” ваш домен localhost: 127.0.0.1.

Отже, по завершенню установки в консолі з’являться усі необхідні дані для входу в адміністративну частину.

По замовчуванню, ви отримуєте такі доступи:

  1. Доступ до веб-інтерфейсу: admin@admin.test:admin
  2. Доступ до нового користувача системи misp (його буде створено автоматично). Перейти в обліковий запис виконавши команду консолі: su - misp
  3. Доступ до MySQL бази даних MariaDB для користувачів root/misp (увійти в MISP DB можна через команду mysql -p)

Робота з MISP

MISP UA

Вхід у Панель адміністрування MISP відбувається за URL-адресою: https://domain/users/login або https://127.0.0.1/users/login

Після першого входу в систему, вас відразу попросять змінити пароль. Встановіть надійний, не менше 12 знаків, комбінуючи символи верхнього та нижнього регістру, а також спецсимволи. Це дуже важливо, аби в майбутньому адмінку ніхто не міг взламати.

Що далі? Ви потрапляєте у веб-інтерфейс платформи MISP. Можна почати з створення нової Організації, перейшовши в меню Administration -> Add Organisation. Після цього додати нового користувача в ролі адміністратора Організації (Org Admin), натиснувши зліва в меню Add User та задавши відповідні налаштування. Тепер можна почати працювати з даними, наприклад додати перший канал інформації про загрози, перейшовши для цього в меню Sync Actions -> List Feeds та на лістингу обрати усі наявні фіди і включити їх, застосувавши масову операцію Enabled selected.

Фіди можна додавати, видаляти, змінювати, імпортувати (Import Feeds from JSON), фактично це як RSS-стрічка новин. Повний список фідів знайдете тут: https://www.misp-project.org/feeds/

Тепер, якщо перейти на головний екран Dashboard, то з’являться перші події Events. Кожна з них маркується відповідно таблиці TLP-тегів.

Робота з MISP

Події можна переглядати, позначати, додавати свої, імпортувати й експортувати у різних форматах (у тому числі в вигляді правил для систем кіберзахисту Snort/Surricata).

Перейшовши в меню Galaxies — отримуєте доступ до своєрідної бази даних. Тут безліч словників, розбитих за категоріями: APT, Malware, атаки, експлойти і так далі.

Якщо перейти в меню Dashboard, то тут є можливість додавати віджети, роблячи свій головний екран інформативним та інтерактивним:

MISP Dashboard

Які переваги дає MISP?

По-перше, усі дані, які з’являються в MISP — це ексклюзивні дані з першоджерел. Ви отримуєте доступ до мережі, якою користуються провідні cybersecurity-спеціалісти світу, стаєте інсайдером й маєте змогу бути у курсі найсвіжіших та найгарячіших подій. MISP є потужним агрегатором і вмістилищем різноманітної інформації. Ви отримуєте масу енциклопедичної, довідкової, хронологічної інформації по кіберзагрозам (Cyber Threats).

По-друге, ця система дає можливість не тільки читати, а й самому активно брати участь, ділитися власними спостереження, створювати нові події про загрози та відправляти їх через MISP у спільноту кіберфахівців усього світу. Як на мене, то це дуже круте opportunity.

І по-третє, з MISP ви, по суті, розгортаєте власний центр реагування на кіберзагрози (Security Operation Center) абсолютно БЕЗКОШТОВНО.

Корисні посилання

👉 Матеріали за темою:

ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:

0 0 голосів
Рейтинг статті
Підписатися
Сповістити про
guest
0 Коментарі
Старіші
Новіші Найпопулярніші
Вбудовані Відгуки
Переглянути всі коментарі
0
Цікаво почути Вашу думку!x
Отримати комерційну пропозицію
Оформити заявку
Замовити консультацію

Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!

Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!