MISP
Informações sobre instalação e configuração de uma instância MISP, regras de conexão com o CERT.br, lista de discussão e referências para treinamentos online.
O MISP (MISP - Open Source Threat Intelligence Platform) é tanto uma plataforma de software livre para compartilhamento de dados de inteligência de ameaças, quanto um conjunto de padrões abertos para compartilhamento destas informações.
O CERT.br tem incentivado o uso de MISP para compartilhamento de informações de ameaças na comunidade de CSIRTs brasileiros como uma forma de automatizar este processo, utilizando uma plataforma aberta, gratuita e amplamente utilizada pela comunidade internacional.
Nesta página estão disponíveis os seguintes conteúdos:
Workshops MISP promovidos pelo CERT.br
Passo-a-Passo de Instalação e Configuração de uma Instância MISP
- Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu
- Passo-a-Passo de Configuração e Operação de Uma Instância
- Conceitos Importantes a Destacar
Requisitos para Sincronizar uma Instância MISP com o CERT.br
Workshops MISP promovidos pelo CERT.br
Materiais das apresentações dos Workshops sobre MISP promovidos e ministrados pelo CERT.br:
- MISP:
Boas Práticas de Instalação, Configuração e Uso
Workshop MISP 2022, setembro de 2022, São Paulo, SP
- MISP:
Instalação e Hardening
Dia 1 do Workshop MISP organizado por CERT.br, ABBC e Anbima, agosto de 2021, Evento On-line - MISP
Descomplicado: Instalação, Configuração e Operação
Básica
Workshop MISP 2020, setembro de 2020, Evento On-line
Passo-a-Passo de Instalação e Configuração de uma Instância MISP
Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu
- Passo-a-passo para instalação de uma instância MISP em sistemas Ubuntu, incluindo hardening do sistema operacional, configuração dos pacotes do sistema, instalação do MISP e configuração para sincronização com uma outra instância.
Passo-a-Passo de Configuração e Operação de Uma Instância
O CERT.br desenvolveu o Guia "MISP: Passo-a-Passo para Configuração e Utilização". Este é arquivo PDF com instruções, acompanhadas de capturas de tela, que passam por todo o processo de configuração de uma instância MISP, incluindo criação de organizações, contas, sincronização de servidores e distribuição de eventos.
Segue um sumário com links para partes com assuntos específicos dentro do Guia:
- Descrição dos Eventos
- Primeiro login
- Configuração da Organização que Gerencia a Instância
- Administração e Criação de Usuários
-
Advanced authkeys
-
Gerando novas
authkeys
-
Sincronização entre Instâncias/Servidores MISP (
push
epull
) - Formas de Compartilhamento e Distribuição de Eventos
- Configuração da instância que receberá os eventos
- Configuração da instância que enviará os eventos
- Atualização do MISP
- Uso do MISP de Maneira Automatizada
-
Exemplos de Consultas Utilizando
curl
- PyMISP
- Exemplo de Código PyMISP
Considerações adicionais sobre boas práticas na utilização e configuração de MISP, incluindo sizing e recursos de hardware, uso de TLP no MISP e erros comuns a evitar, estão disponíveis nos slides do Workshop MISP realizado em setembro de 2022: MISP: Boas Práticas de Instalação, Configuração e Uso
Conceitos Importantes a Destacar
Alguns conceitos, especialmente importantes para o compartilhamento
efetivo de informações via MISP são os de sincronização de
instâncias e formas de distribuição de eventos.
Sincronização de Instâncias MISP
A sincronização de instâncias ou servidores é como o MISP se refere ao processo de troca de informações entre duas ou mais instâncias MISP, que:
- requer a criação de usuários
"Sync User"
e respectivasauthkeys
- pode ser feita através de um dos seguintes mecanismos:
push
- uma instância
A
envia os eventos para uma instânciaB
- distribuição de um evento ocorre de forma automática após sua publicação
- uma instância
pull
- uma instância
B
busca eventos em uma instânciaA
- precisa de uma intervenção do administrador via
interface web ou então de um script rodando
no
cron
- uma instância
Resumo comparativo entre
sincronização push
e pull
:
push |
pull |
|
---|---|---|
Direção | A envia eventos
para B |
B busca eventos
em A |
Propagação de eventos |
Automática No momento da publicação do evento |
Manual Via interface do MISP ou via cron |
Dados para configuração de sincronia |
A manda
para B :- UUID e ORGNAME B manda para A :- URL , Authkey , UUID e ORGNAME |
B manda
para A :- UUID e ORGNAME A manda
para B :- URL , Authkey , UUID e ORGNAME |
Criação de contas e servidores para sincronia |
B cria:- Org. local com os dados de A - Sync-User para A na Org. local criadaA cria:- Servidor de sincronia, com a opção push marcada, com os dados de B |
B cria:- Servidor de sincronia, com a opção pull marcada, com os dados de A A cria:- Org. local com os dados de B - Sync-User com "Authkey
read only" para B na Org. local criada |
Configuração de Rede |
B precisa permitir conexões
vindas de A na porta 443/TCP |
A precisa permitir conexões
vindas de B na porta 443/TCP |
Compartilhamento e Distribuição de Eventos
O MISP permite cinco configurações diferentes para o compartilhamento e distribuição de eventos:
Your organisation only
- Apenas usuários da sua organização recebem os eventos
- IMPORTANTE: se não souber como será o compartilhamento, crie como "Your organisation only"
- Não é possível controlar/forçar a remoção de um evento propagado indevidamente
This community only
- Usuários de outras organizações no seu servidor MISP recebem os eventos
Connected communities
- Usuários de organizações de servidores MISP conectados
diretamente ao seu servidor MISP recebem os eventos
All communities
- Usuários de todas as comunidades recebem os eventos, que são
propagados livremente de um servidor MISP para outro
Sharing group
- Apenas organizações selecionadas em servidores selecionados recebem os eventos
Lista de Discussão MISP-BR
O CERT.br mantém uma lista para discussão de assuntos relacionados com instalação, configuração e implantação de instâncias MISP. A lista é destinada a profissionais que estão implantando ou operando instâncias MISP.
Para se inscrever mande mail para
misp-br-request at listas.cert.br
com a palavra
subscribe
no Subject.
Requisitos para Sincronizar uma Instância MISP com o CERT.br
Para se qualificar para sincronizar uma instância com o CERT.br uma organização deve preencher um dos requisitos abaixo:
- Ser um CSIRT listado na página do CERT.br; ou
- Fazer parte de algum grupo de confiança e cooperação setorial.
Para informações sobre como sincronizar sua instância com o CERT.br,
envie email para <misp@cert.br>
.
Informações adicionais sobre MISP em Inglês
Tutoriais no Youtube
- MISP General Usage Training - Part 1 of 2, Andras Iklody, Alexandre Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 08, 2021, Duration: 3:42:50
- MISP General Usage Training - Part 2 of 2, Andras Iklody, Alexandre Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 09, 2021, Duration: 3:40:53
- Writing Meaningful Threat Intel Reports in MISP, Andras Iklody, Alexandre Dulaunoy, Sami Mokaddem, FIRSTCON21 | Virtual Edition 2.0 - Workshop Series, June 17, 2021, Duration: 2:32:45
- MISP Training Module 1 - An Introduction to Cybersecurity Information Sharing, CIRCL YouTube Channel, Duration: 1:06:33
- MISP Training Module 2 - General usage of MISP, CIRCL YouTube Channel, Duration: 1:08:54
- MISP Tutorial - Enablings Feeds, CIRCL YouTube Channel, Duration: 0:34
- MISP Tutorial - Create an Event - Part1, CIRCL YouTube Channel, Duration: Duration 5:33
- MISP Event graph demo, CIRCL YouTube Channel, Duration: 3:04
- PyMISP and MISP Objects: a door to new opportunities, by Raphael Vinot, MISP Summit 2017
Páginas oficiais do Projeto
- MISP - Open Source Threat Intelligence Platform & Open
Standards For Threat Information Sharing
https://www.misp-project.org/ - MISP Documentation
https://www.misp-project.org/documentation/ - MISP Standard Collaborative Intelligence
https://www.misp-standard.org/ - MISP Concepts Cheat Sheet
https://www.misp-project.org/misp-training/cheatsheet.pdf - MISP Project GitHub
https://github.com/MISP
Páginas do PyMISP
- PyMISP - Python Library to Access MISP
https://pymisp.readthedocs.io/en/latest/README.html - PyMISP Documentation
https://pymisp.readthedocs.io/en/latest/ - PyMISP GitHub
https://github.com/MISP/PyMISP - PyMISP Tutorial (Full Overview)
https://github.com/MISP/PyMISP/blob/main/docs/tutorial/FullOverview.ipynb