MISP (Malware Information Sharing Platform) - це спеціалізована платформа для збору та обміну інформацію про кібер-загрози (Threat Intelligence). Платформа базується на Open Source коді, нею користуються професіонали з моніторингу та реагування на кіберінциденти: SOC, CIRC, CIRT, CSIRT, CERT тощо.
Проєкт MISP заснований у 2011 році програмістом Христофом Вандепласом. На сьогодні він суттєво розрісся та підтримується великою спільнотою, зокрема Європейським Союзом. Включає в себе десятки Git-репозиторіїв, модулів, додатків, компонентів, API-інтеграцій з іншими платформами, наприклад Maltego, TheHive.
Платформа насправді дуже розгорнута і її можна вивчати місяцями. У даній статті я розгляну лише деякі аспекти, зокрема базові принципи та ази роботи з MISP.
Встановлення MISP в Linux
Для встановлення MISP підійдуть усі Linux-подібні операційні системи: Ubuntu, Debian, Kali та інші.
Я рекомендую розгортати MISP на окремому сервері.
Перед встановленням рекомендую обов'язково оновити систему:
sudo apt update && sudo apt upgrade -y
Інакше можливі помилки при встановленні.
Для Kali Linux команда установки виглядає наступним чином:
wget -O /tmp/misp-kali.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh && bash /tmp/misp-kali.sh
Команди для інших дистрибутивів можна переглянути за посиланням: https://misp.github.io/MISP/INSTALL.ubuntu1804/
Розпочавши установку програма запропонує вказати домен, за яким буде доступна за URL-адресою: https://domain/users/login
Можна залишити порожнім, тоді замість нього буде просто локальний локалхост: https://127.0.0.1
Саме встановлення може зайняти чимало часу, тому варто бути терплячим, адже MISP система габаритна.
Також варто переконатися, що файрвол не блокує порти. Якщо доступу немає, то варто додати правила:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Також, якщо ви вказали домен, варто заглянути в /etc/hosts і переконатися, чи "слухає" ваш домен localhost: 127.0.0.1.
Отже, по завешенню установки в консолі з'являться дані для входу в адміністративну частину. По замовчуванюю, ви отримуєте наступні пари доступів:
Доступ до веб-інтерфейсу:
admin@admin.test:admin
Доступ до нового користувача системи misp (його буде створено автоматично). Перейти в обліковий запис виконавши команду консолі:
su - misp
Доступ до MySQL бази даних MariaDB для користувачів root/misp (увійти в MISP DB можна через команду
mysql -p
)
Робота з MISP
Вхід у Панель адміністрування MISP відбувається за URL-адресою: https://domain/users/login або https://127.0.0.1/users/login
Після першого входу в систему, вас відразу попросять змінити пароль. Встановіть надійний, не менше 12 знаків, комбінуючи символи верхнього та нижнього регістру, а також спецсимволи. Це дуже важливо, аби в майбутньому адмінку ніхто не міг взламати.
Що далі? Ви потрапляєте у веб-інтерфейс платформи MISP. Можна почати з створення нової Організації, перейшовши в меню Administration -> Add Organisation
. Після цього додати нового користувача в ролі адміністратора Організації (Org Admin
), натиснувши зліва в меню Add User та задавши відповідні налаштування. Тепер можна почати працювати з даними, наприклад додати перший канал інформації про загрози, перейшовши для цього в меню Sync Actions -> List Feeds
та на лістингу обрати усі наявні фіди і включити їх, застосувавши масову операцію Enabled selected
.
Фіди можна додавати, видаляти, змінювати, імпортувати (Import Feeds from JSON
), фактично це як RSS-стрічка новин. Повний список фідів знайдете тут: https://www.misp-project.org/feeds/
Тепер, якщо перейти на головний екран Dashboard
, то з'являться перші події Events
. Кожна з них маркується відповідно таблиці TLP-тегів.
Події можна переглядати, позначати, додавати свої, імпортувати і експортувати у різних форматах (у тому числі в вигляді правил для систем кіберзахисту Snort/Surricata).
Перейшовши в меню Galaxies - отримуєте доступ до своєрідної бази-даних. Тут знайдете десятки словників, розбитих за категоріями: APT-угрупування, Malware, атаки, експлойти і так далі.
Як переваги дає MISP?
Що тут особливого - запитаєте ви? По-перше, усі дані, які з'являються в MISP - це ексклюзивні дані з першоджерел, які по суті ще ніде не засвітилися. Ви стаєте інсайдером й маєте змогу бути у курсі найсвіжіших та найгарячіших подій. MISP є потужним агрегатором і вмістилищем різноманітної інформації про APT і Malware, тому ви ще й економите свій час на аналітику. По-друге, ця система дає можливість не тільки читати, а й самому активно брати участь, ділитися власними спостереження, створювати нові події про загрози та відправляти їх через MISP у спільноту кіберфахівців усього світу. Як на мене, то це дуже круте opportunity. І по-третє, з MISP ви по-суті розгортаєте власний центр реагування на кіберзагрози (Security Operation Center) абсолютно БЕЗКОШТОВНО.
Top comments (1)
Привіт! Дякую за інформацію. Мені дуже подобається ця платформа. Платформа MISP включає в себе широкий набір функціональних можливостей та інтеграцій з іншими платформами, що робить її незамінним інструментом для спеціалістів з кібербезпеки. Також хочу порекомендувати до перегляду цей сайт filmy.com.ua/filmy-pro-viinu/ у вільний час він допомагає обрати фільм. Інсталяція MISP на Linux-подібних операційних системах, таких як Ubuntu, Debian або Kali, відбувається досить просто і може бути виконана навіть користувачем з базовими навичками адміністрування.