CERT.br – MISP

O MISP (MISP - Open Source Threat Intelligence Platform) é tanto uma plataforma de software livre para compartilhamento de dados de inteligência de ameaças, quanto um conjunto de padrões abertos para compartilhamento destas informações.

O CERT.br tem incentivado o uso de MISP para compartilhamento de informações de ameaças na comunidade de CSIRTs brasileiros como uma forma de automatizar este processo, utilizando uma plataforma aberta, gratuita e amplamente utilizada pela comunidade internacional.

Nesta página estão disponíveis os seguintes conteúdos:

Workshops MISP promovidos pelo CERT.br

Passo-a-Passo de Instalação e Configuração de uma Instância MISP

Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu
Passo-a-Passo de Configuração e Operação de Uma Instância
Conceitos Importantes a Destacar

Lista de Discussão MISP-BR

Requisitos para Sincronizar uma Instância MISP com o CERT.br

Informações adicionais sobre MISP em Inglês

Tutoriais no Youtube
Páginas oficiais do Projeto
Páginas do PyMISP

Workshops MISP promovidos pelo CERT.br

Materiais das apresentações dos Workshops sobre MISP promovidos e ministrados pelo CERT.br:

MISP: Boas Práticas de Instalação, Configuração e Uso
Workshop MISP 2022, setembro de 2022, São Paulo, SP
MISP: Instalação e Hardening
Dia 1 do Workshop MISP organizado por CERT.br, ABBC e Anbima, agosto de 2021, Evento On-line
MISP Descomplicado: Instalação, Configuração e Operação Básica
Workshop MISP 2020, setembro de 2020, Evento On-line

Passo-a-Passo de Instalação e Configuração de uma Instância MISP

Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu

Passo-a-passo para instalação de uma instância MISP em sistemas Ubuntu, incluindo hardening do sistema operacional, configuração dos pacotes do sistema, instalação do MISP e configuração para sincronização com uma outra instância.

Passo-a-Passo de Configuração e Operação de Uma Instância

O CERT.br desenvolveu o Guia "MISP: Passo-a-Passo para Configuração e Utilização". Este é arquivo PDF com instruções, acompanhadas de capturas de tela, que passam por todo o processo de configuração de uma instância MISP, incluindo criação de organizações, contas, sincronização de servidores e distribuição de eventos.

Segue um sumário com links para partes com assuntos específicos dentro do Guia:

Considerações adicionais sobre boas práticas na utilização e configuração de MISP, incluindo sizing e recursos de hardware, uso de TLP no MISP e erros comuns a evitar, estão disponíveis nos slides do Workshop MISP realizado em setembro de 2022: MISP: Boas Práticas de Instalação, Configuração e Uso

Conceitos Importantes a Destacar

Alguns conceitos, especialmente importantes para o compartilhamento efetivo de informações via MISP são os de sincronização de instâncias e formas de distribuição de eventos.

Sincronização de Instâncias MISP

A sincronização de instâncias ou servidores é como o MISP se refere ao processo de troca de informações entre duas ou mais instâncias MISP, que:

requer a criação de usuários "Sync User" e respectivas authkeys
pode ser feita através de um dos seguintes mecanismos:
- push
  - uma instância A envia os eventos para uma instância B
  - distribuição de um evento ocorre de forma automática após sua publicação
- pull
  - uma instância B busca eventos em uma instância A
  - precisa de uma intervenção do administrador via interface web ou então de um script rodando no cron

Resumo comparativo entre sincronização push e pull:

	`push`	`pull`
Direção	`A` envia eventos para `B`	`B` busca eventos em `A`
Propagação de eventos	Automática No momento da publicação do evento	Manual Via interface do MISP ou via `cron`
Dados para configuração de sincronia	`A` manda para `B`: - `UUID` e `ORGNAME` `B` manda para `A`: - `URL`, `Authkey`, `UUID` e `ORGNAME`	`B` manda para `A`: - `UUID` e `ORGNAME` `A` manda para `B`: - `URL`, `Authkey`, `UUID` e `ORGNAME`
Criação de contas e servidores para sincronia	`B` cria: - Org. local com os dados de `A` - `Sync-User` para `A` na Org. local criada `A` cria: - Servidor de sincronia, com a opção `push` marcada, com os dados de `B`	`B` cria: - Servidor de sincronia, com a opção `pull` marcada, com os dados de `A` `A` cria: - Org. local com os dados de `B` - `Sync-User` com `"Authkey read only"` para `B` na Org. local criada
Configuração de Rede	`B`precisa permitir conexões vindas de `A` na porta 443/TCP	`A`precisa permitir conexões vindas de `B` na porta 443/TCP

Compartilhamento e Distribuição de Eventos

O MISP permite cinco configurações diferentes para o compartilhamento e distribuição de eventos:

Your organisation only: Apenas usuários da sua organização recebem os eventos; IMPORTANTE: se não souber como será o compartilhamento, crie como "Your organisation only"; Não é possível controlar/forçar a remoção de um evento propagado indevidamente
This community only: Usuários de outras organizações no seu servidor MISP recebem os eventos
Connected communities: Usuários de organizações de servidores MISP conectados diretamente ao seu servidor MISP recebem os eventos
All communities: Usuários de todas as comunidades recebem os eventos, que são propagados livremente de um servidor MISP para outro
Sharing group: Apenas organizações selecionadas em servidores selecionados recebem os eventos

Lista de Discussão MISP-BR

O CERT.br mantém uma lista para discussão de assuntos relacionados com instalação, configuração e implantação de instâncias MISP. A lista é destinada a profissionais que estão implantando ou operando instâncias MISP.

Para se inscrever mande mail para misp-br-request at listas.cert.br com a palavra subscribe no Subject.

Requisitos para Sincronizar uma Instância MISP com o CERT.br

Para se qualificar para sincronizar uma instância com o CERT.br uma organização deve preencher um dos requisitos abaixo:

Ser um CSIRT listado na página do CERT.br; ou
Fazer parte de algum grupo de confiança e cooperação setorial.

Para informações sobre como sincronizar sua instância com o CERT.br, envie email para <misp@cert.br>.

Informações adicionais sobre MISP em Inglês

Tutoriais no Youtube

MISP General Usage Training - Part 1 of 2, Andras Iklody, Alexandre Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 08, 2021, Duration: 3:42:50
MISP General Usage Training - Part 2 of 2, Andras Iklody, Alexandre Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 09, 2021, Duration: 3:40:53
Writing Meaningful Threat Intel Reports in MISP, Andras Iklody, Alexandre Dulaunoy, Sami Mokaddem, FIRSTCON21 | Virtual Edition 2.0 - Workshop Series, June 17, 2021, Duration: 2:32:45
MISP Training Module 1 - An Introduction to Cybersecurity Information Sharing, CIRCL YouTube Channel, Duration: 1:06:33
MISP Training Module 2 - General usage of MISP, CIRCL YouTube Channel, Duration: 1:08:54
MISP Tutorial - Enablings Feeds, CIRCL YouTube Channel, Duration: 0:34
MISP Tutorial - Create an Event - Part1, CIRCL YouTube Channel, Duration: Duration 5:33
MISP Event graph demo, CIRCL YouTube Channel, Duration: 3:04
PyMISP and MISP Objects: a door to new opportunities, by Raphael Vinot, MISP Summit 2017

Páginas oficiais do Projeto

MISP - Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing
https://www.misp-project.org/
MISP Documentation
https://www.misp-project.org/documentation/
MISP Standard Collaborative Intelligence
https://www.misp-standard.org/
MISP Concepts Cheat Sheet
https://www.misp-project.org/misp-training/cheatsheet.pdf
MISP Project GitHub
https://github.com/MISP

Páginas do PyMISP

PyMISP - Python Library to Access MISP
https://pymisp.readthedocs.io/en/latest/README.html
PyMISP Documentation
https://pymisp.readthedocs.io/en/latest/
PyMISP GitHub
https://github.com/MISP/PyMISP
PyMISP Tutorial (Full Overview)
https://github.com/MISP/PyMISP/blob/main/docs/tutorial/FullOverview.ipynb