DEV Community: Cr0n

Що таке платформа MISP і як нею користуватися?

Cr0n — Sat, 30 Apr 2022 12:12:34 +0000

MISP (Malware Information Sharing Platform) - це спеціалізована платформа для збору та обміну інформацію про кібер-загрози (Threat Intelligence). Платформа базується на Open Source коді, нею користуються професіонали з моніторингу та реагування на кіберінциденти: SOC, CIRC, CIRT, CSIRT, CERT тощо.

Проєкт MISP заснований у 2011 році програмістом Христофом Вандепласом. На сьогодні він суттєво розрісся та підтримується великою спільнотою, зокрема Європейським Союзом. Включає в себе десятки Git-репозиторіїв, модулів, додатків, компонентів, API-інтеграцій з іншими платформами, наприклад Maltego, TheHive.

Платформа насправді дуже розгорнута і її можна вивчати місяцями. У даній статті я розгляну лише деякі аспекти, зокрема базові принципи та ази роботи з MISP.

Встановлення MISP в Linux

Для встановлення MISP підійдуть усі Linux-подібні операційні системи: Ubuntu, Debian, Kali та інші.

Я рекомендую розгортати MISP на окремому сервері.

Перед встановленням рекомендую обов'язково оновити систему:

sudo apt update && sudo apt upgrade -y

Інакше можливі помилки при встановленні.

Для Kali Linux команда установки виглядає наступним чином:

wget -O /tmp/misp-kali.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh && bash /tmp/misp-kali.sh

Команди для інших дистрибутивів можна переглянути за посиланням: https://misp.github.io/MISP/INSTALL.ubuntu1804/

Розпочавши установку програма запропонує вказати домен, за яким буде доступна за URL-адресою: https://domain/users/login
Можна залишити порожнім, тоді замість нього буде просто локальний локалхост: https://127.0.0.1

Саме встановлення може зайняти чимало часу, тому варто бути терплячим, адже MISP система габаритна.

Також варто переконатися, що файрвол не блокує порти. Якщо доступу немає, то варто додати правила:

sudo ufw allow 80/tcp 
sudo ufw allow 443/tcp

Також, якщо ви вказали домен, варто заглянути в /etc/hosts і переконатися, чи "слухає" ваш домен localhost: 127.0.0.1.

Отже, по завешенню установки в консолі з'являться дані для входу в адміністративну частину. По замовчуванюю, ви отримуєте наступні пари доступів:

Доступ до веб-інтерфейсу: admin@admin.test:admin
Доступ до нового користувача системи misp (його буде створено автоматично). Перейти в обліковий запис виконавши команду консолі: su - misp
Доступ до MySQL бази даних MariaDB для користувачів root/misp (увійти в MISP DB можна через команду mysql -p)

Робота з MISP

Вхід у Панель адміністрування MISP відбувається за URL-адресою: https://domain/users/login або https://127.0.0.1/users/login

Після першого входу в систему, вас відразу попросять змінити пароль. Встановіть надійний, не менше 12 знаків, комбінуючи символи верхнього та нижнього регістру, а також спецсимволи. Це дуже важливо, аби в майбутньому адмінку ніхто не міг взламати.

Що далі? Ви потрапляєте у веб-інтерфейс платформи MISP. Можна почати з створення нової Організації, перейшовши в меню Administration -> Add Organisation. Після цього додати нового користувача в ролі адміністратора Організації (Org Admin), натиснувши зліва в меню Add User та задавши відповідні налаштування. Тепер можна почати працювати з даними, наприклад додати перший канал інформації про загрози, перейшовши для цього в меню Sync Actions -> List Feeds та на лістингу обрати усі наявні фіди і включити їх, застосувавши масову операцію Enabled selected.

Фіди можна додавати, видаляти, змінювати, імпортувати (Import Feeds from JSON), фактично це як RSS-стрічка новин. Повний список фідів знайдете тут: https://www.misp-project.org/feeds/

Тепер, якщо перейти на головний екран Dashboard, то з'являться перші події Events. Кожна з них маркується відповідно таблиці TLP-тегів.

Події можна переглядати, позначати, додавати свої, імпортувати і експортувати у різних форматах (у тому числі в вигляді правил для систем кіберзахисту Snort/Surricata).

Перейшовши в меню Galaxies - отримуєте доступ до своєрідної бази-даних. Тут знайдете десятки словників, розбитих за категоріями: APT-угрупування, Malware, атаки, експлойти і так далі.

Як переваги дає MISP?

Що тут особливого - запитаєте ви? По-перше, усі дані, які з'являються в MISP - це ексклюзивні дані з першоджерел, які по суті ще ніде не засвітилися. Ви стаєте інсайдером й маєте змогу бути у курсі найсвіжіших та найгарячіших подій. MISP є потужним агрегатором і вмістилищем різноманітної інформації про APT і Malware, тому ви ще й економите свій час на аналітику. По-друге, ця система дає можливість не тільки читати, а й самому активно брати участь, ділитися власними спостереження, створювати нові події про загрози та відправляти їх через MISP у спільноту кіберфахівців усього світу. Як на мене, то це дуже круте opportunity. І по-третє, з MISP ви по-суті розгортаєте власний центр реагування на кіберзагрози (Security Operation Center) абсолютно БЕЗКОШТОВНО.

Корисні посилання

Як встановити Docker в Linux?

Cr0n — Wed, 27 Apr 2022 07:25:23 +0000

У цій статті я розповім простою мовою, що таке Docker, кому та навіщо він потрібен і як встановити його на віртуальних серверах під управлінням ОС Linux, зокрема дистрибутивах - Ubuntu, Debian та Kali/Parrot Linux.

Що таке Docker та навіщо він?

Docker — це програмна платформа, заснована на контейнерній віртуалізації (контейнеризації). Контейнер - це по-суті готовий образ програми разом з її начинням та середовищем. Щоб розгорнути програму - потрібно лише завантажити контейнер з допомогою Docker та запустити його. І таких контейнерів одночасно можна застосовувати необмежену кількість.

Початково технологія Docker була створена для програмістів та DevOps-інженерів, яким потрібно забезпечувати безперервне розгортання та тестування програмного забезпечення, незалежно від робочого оточення. З часом Docker’ризація набула великої популярності й серед звичайних користувачів та ІТ-спеціалістів, адже дозволяє легко запакувати і запустити будь-яку програму в ОС Linux. Не потрібно більше хвилюватися про можливі помилки залежностей (dependiens), які виникають зав відсутності бібліотек або конфлікти версій.

Таким чином, Докер - це універсальний, я б сказав “народний”, інструмент, який може бути корисним кожному, хто працює з програмами: у веб-розробці, розгортанні, тестуванні та встановленні.

Інструкція по встановленню Docker в Ubuntu

Процедура встановлення проводиться на чистий VPS-сервер та відбувається згідно офіційної документації Docker.

Оновлюємо APT-репозиторій та встановлюємо необхідні пакунки:

sudo apt-get update
sudo apt-get install \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

Додаємо GPG-ключ в систему (означає Gnu Privacy Guard, засвідчує, що ви отримуєте пакети з надійного та захищеного джерела):

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

Додаємо в систему стабільний репозиторій:

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

Завантажуємо пакети встановлення Docker:

sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io

Отримуємо список версій Docker та встановлюємо актуальну:

apt-cache madison docker-ce
sudo apt-get install docker-ce=<VERSION_STRING> docker-ce-cli=<VERSION_STRING> containerd.io

Перевіряємо запуск Docker:

sudo docker run hello-world

Якщо на екрані з’явиться стартове привітання “Hello from Docker” - значить Docker успішно встановлено.

Інструкція по встановленню Docker в Debian

Процедура встановлення проводиться на чистий VPS-сервер та відбувається згідно офіційної документації Docker.

Оновлюємо APT-репозиторій та встановлюємо необхідні пакунки:

 sudo apt-get update
 sudo apt-get install \
    ca-certificates \
    curl \
    gnupg \
    lsb-release

Додаємо GPG-ключ в систему (означає Gnu Privacy Guard, засвідчує, що ви отримуєте пакети з надійного та захищеного джерела):

curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

Додаємо в систему стабільний репозиторій:

echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/debian \
  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

Завантажуємо пакети встановлення Docker:

sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io

Отримуємо список версій Docker та встановлюємо актуальну:

apt-cache madison docker-ce
sudo apt-get install docker-ce=<VERSION_STRING> docker-ce-cli=<VERSION_STRING> containerd.io

Перевіряємо запуск Docker:

sudo docker run hello-world

Якщо на екрані з’явиться стартове привітання “Hello from Docker” - значить Docker успішно встановлено.

Як встановити Docker в дистрибутивах Kali/Parrot Linux?

Kali та Parrot Linux - це спеціальні “хакерські” дистрибутиви ОС Linux розроблені на базі Debian. Docker-пакети в них вже включені по замовчуванню. Встановлення відбувається кількома командами:

sudo apt update
sudo apt install docker.io
sudo systemctl enable docker.socket

Список базових команд Docker

docker pull image <name> //завантаження образу
docker run image <name> //запуск образу
docker ps //перегляд запущений контейнерів
docker stats //статистика використання ресурсів
docker logs container //перегляд логів контейнера
docker stop container //зупинка контейнера
docker kill container //вбити працюючий контейнер
docker rm container //знищення контейнера
docker rmi image //видалення образу

Які є недоліки у Docker?

І все ж у Докера є як плюси, так і мінуси. Ось деякі з них:

Docker-контейнери можуть використовувати більше ресурсів ядра порівняно зі звичайними програмами;

Питання безпеки та захищеності Docker відкрите та стоїть на “порядку денному” в cybersecurity-спільноті. Тому не рекомендується завантажувати контейнери з ненадійних джерел, а також нехтувати засобами захисту Linux.

Корисні посилання

Автор: Cr0n