正文

威胁情报:MISP 实验室设置

admin
admin V管理员 /0 评论 /68 阅读
1121
此篇文章发布距今已超过94天,您需要注意文章的内容或图片是否可用!

MISP 是一个开源威胁情报和共享平台(以前称为恶意软件信息共享平台),用于收集、存储、分发和共享有关网络安全事件和恶意软件分析的网络安全指标和威胁。

MISP 提供设施来支持信息交换,也支持网络入侵检测系统 (NIDS)、基于日志的入侵检测系统 (LIDS) 以及日志分析工具 SIEM 的信息消费。

要在 Ubuntu 平台上配置 MISP,安装需要一些先决条件。
Ubuntu 20.04.1
MySQL
非 root 用户
目录
  • 安装 MISP 和所有依赖项
  • 默认凭证
  • 更改管理员密码
  • 创建组织
  • 为新组织创建管理员
  • 启用威胁情报源
  • IPython+PyMisp 的设置
  • 将 MISP 实例与 PyMISP 集成
  • 创建 MISP 事件
  • 将对象添加到 MISP 事件
  • 在 MISP 中搜索 IOC
  • 威胁监控
  • 未来将更新 MISP 以获得最新版本
    安装 MISP 和所有依赖项
    让我们从系统更新和升级开始安装。
sudo apt-get update -y && sudo apt-get upgrade -y

MISP 需要我们的机器上有 Mysql-client。使用以下命令安装 Mysql-client。
sudo apt-get install mysql-client -y

要在全新的 ubuntu 20.04.1 上安装 MISP,您只需执行以下操作。只需记住一件事,这是一个自动 bash 脚本,无法以 Root 权限运行,请以非 root 用户身份运行此脚本。

使用 install.sh 安装 MISP

curl https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh -o misp_install.sh

更改文件 misp_install.sh 的权限并使其可执行。为此,请运行以下命令。该脚本需要一些时间在您的 Ubuntu 平台上安装 MISP。

chmod +x misp_install.sh ./misp_install.sh -A

在安装过程中输入“Y”创建MISP用户

现在,我们将向防火墙添加一条规则,允许端口 80/tcp 和 443/tcp

sudo ufw allow 80/tcpsudo ufw allow 443/tcp

安装MISP后我们可以使用浏览器连接到MISP。
默认情况下,MISP 监听环回地址或基本 URL。要通过浏览器访问 MISP,请浏览以下 URL
https://127.0.0.1/users/login
或者也可以进入 MISP 管理面板的“我的个人资料”部分

创建组织

前往“管理”部分,添加组织

选择管理 > 添加组织
在组织标识符中输入“<组织名称>”
选择“生成 UUID”
选择底部的“提交”按钮

您还可以前往管理部分下的列出组织来检查本地组织的实例存在情况

为新组织创建管理员
我们已经成功创建了一个组织,让我们为该组织分配一个管理员角色,你需要做的就是前往“管理”部分下的“添加用户”
管理>添加用户
输入“ignite@”作为电子邮件
检查“设置密码”密码应采用满足最低要求的标准形式。
选择“<新组织名称>”作为组织
为新组织选择“角色”
选择底部的“提交”按钮

您还可以前往管理部分下的列出组织来检查本地组织的实例权限

为新组织创建 API 用户
管理>添加用户
输入“api_user@”作为电子邮件
选择“<新组织名称>”作为组织
为新组织选择“用户”角色
选择底部的“提交”按钮

启用威胁情报源

要启用 feed,您需要使用超级用户帐户(即[email protected]帐户)登录 MISP 控制台。

这个有点特殊,因为我们可以进入“同步操作”选项卡来构建我们的面板。

进入同步操作选项卡时,选择列表提要选项卡。

从那里找到 CIRCL osint 等 feed,并检查 feeds 选项卡

然后转到“编辑”图标
勾选“已启用”
勾选“查找可见”
勾选“已启用缓存”
选择底部的“编辑”

通过编辑 feed,转到“获取并存储所有 feed 数据”选项卡

太棒了!我们已成功启用威胁情报源。
设置 Ipython+PyMISP
PyMISP 是一个通过 REST API 访问 MISP 平台的 Python 库。
PyMISP 允许您获取事件、添加或更新事件/属性、添加或更新样本或搜索属性。PyMISP API 用于在 MISP 中存储攻击指标 (IOC) 并从 MISP 查询 IOC。
在 MISP 控制台中,转到“管理”并选择“列出用户”
查找“ api_user@ ”并复制“ auth key ”
打开终端并开始设置 Ipython 和 PyMISP
为此,请运行以下命令
pip3 install ipythonpip3 install -U pymisp

将 MISP 实例与 PyMISP 连接起来

Ipython

Ipython 是一个替代的 Python 解释器,它是一个用于 Python 计算的交互式 shell。让我们加载 Ipython 解释器并开始编写脚本,按照以下命令执行此操作。只需记住一件事,不要离开或退出 Python 解释器,直到最后(例如 ipython)。

ipythonfrom pymisp import ExpandedPyMISPmisp_url = 'https://<FQDN of MISP>'misp_key = "<Enter MISP API key>"misp_verifycert = Falsemisp = ExpandedPyMISP(misp_url, misp_key, misp_verifycert)

创建 MISP 事件

MISP 事件是上下文链接信息的封装。链接信息将包括域、文件哈希、IP 地址、恶意二进制文件等。我们将调用一个名为“来自笔记本 2 的事件”的对象来执行此操作,运行以下命令。

from pymisp import ExpandedPyMISP, PyMISP, MISPEventevent_obj = MISPEvent()event_obj.distribution = 1event_obj.threat_level_id = 1event_obj.analysis = 1event_obj.info = "Event from notebook 2"# Add event to MISPevent = misp.add_event(event_obj)event_id, event_uuid = event['Event']['id'], event['Event']['uuid']print (event_id, event_uuid)

将对象添加到 MISP 事件

新的 MISP 对象生成器的创建应使用预定义的模板和继承来完成。我们的新 MISP 生成器需要生成属性,并使用附加属性将它们添加为类属性。当对象发送到 MISP 时,所有类属性都将导出到 JSON Export。MISP 中的属性可以是网络指示器(例如 IP 地址)、系统指示器(例如内存中的字符串)或银行帐户详细信息。

为此,请运行以下命令。

sudo apt-get install mysql-client -y0

在 MISP 中搜索 IOC

让我们在 MISP ipython 解释器中搜索 IOC。运行以下命令执行搜索。

misp.search(控制器 = 'attributes',type_attribute =”ip-src”,值 =”8.8.8.8″)

太棒了,现在您已经在 Ubuntu 平台上完全设置了 MISP。

威胁监控

让我们检查一下 MISP 仪表板上发生了什么。

这个非常特别,因为我们可以进入“审计”选项卡来构建我们的面板。

进入审计选项卡时,选择“列出日志”选项卡

等等这还不够
抓紧!
我们可以看到,现在我们可以直接访问与威胁情报相关的每个日志。
例如,我们可以追踪非法攻击。
类似地,我们可以从各种服务器进行恶意软件分析,还可以查看(NIDS)网络入侵检测系统(LIDS)、日志分析工具、SIEM 的日志。

未来将更新 MISP 至最新版本

强烈建议通过 Web 界面升级 MISP。本博客可能并非始终保持最新状态,需要您修复权限。

一般来说,在点版本之间更新 MISP(例如 2.4.50 -> 2.4.53)时,需要以 root 身份执行以下命令。

要从 2.4 分支更新最新的提交,只需拉取最新的提交。

输入以下命令

sudo apt-get install mysql-client -y1


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客