CERT.br

Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

MISP CERT.br

O MISP (MISP - Open Source Threat Intelligence Platform) é tanto uma plataforma de software livre para compartilhamento de dados de inteligência de ameaças, quanto um conjunto de padrões abertos para compartilhamento destas informações.

O CERT.br tem incentivado o uso de MISP para compartilhamento de informações de ameaças na comunidade de CSIRTs brasileiros como uma forma de automatizar este processo, utilizando uma plataforma aberta, gratuita e amplamente utilizada pela comunidade internacional.

Passo-a-Passo de Instalação e Configuração de uma Instância MISP


Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu

Passo-a-Passo de Configuração e Operação de Uma Instância

O CERT.br desenvolveu o Guia "MISP: Passo-a-Passo para Configuração e Utilização". Este é arquivo PDF com instruções, acompanhadas de capturas de tela, que passam por todo o processo de configuração de uma instância MISP, incluindo criação de organizações, contas, sincronização de servidores e distribuição de eventos.

Segue um sumário com links para partes com assuntos específicos dentro do Guia:


Conceitos Importantes a Destacar

Alguns conceitos, especialmente importantes para o compartilhamento efetivo de informações via MISP são os de sincronização de instâncias e formas de distribuição de eventos.

Sincronização de Instâncias MISP

A sincronização de instâncias ou servidores é como o MISP se refere ao processo de troca de informações entre duas ou mais instâncias MISP, que:

Resumo comparativo entre sincronização push e pull:

push pull
Direção A envia eventos para B B busca eventos em A
Propagação
de eventos
Automática
No momento da publicação do evento
Manual
Via interface do MISP ou via cron
Dados para
configuração
de sincronia
A manda para B:
- UUID e ORGNAME
B manda para A:
- URL, Authkey, UUID e ORGNAME
B manda para A:
- UUID e ORGNAME
A manda para B:
- URL, Authkey, UUID e ORGNAME
Criação de contas
e servidores
para sincronia
B cria:
- Org. local com os dados de A
- Sync-User para A na Org. local criada
A cria:
- Servidor de sincronia, com a opção push
marcada, com os dados de B
B cria:
- Servidor de sincronia, com a opção pull
marcada, com os dados de A
A cria:
- Org. local com os dados de B
- Sync-User com "Authkey read only"
para B na Org. local criada
Configuração
de Rede
Bprecisa permitir conexões vindas de A
na porta 443/TCP
Aprecisa permitir conexões vindas de B
na porta 443/TCP

Compartilhamento e Distribuição de Eventos

O MISP permite cinco configurações diferentes para o compartilhamento e distribuição de eventos:

Your organisation only
Apenas usuários da sua organização recebem os eventos
IMPORTANTE: se não souber como será o compartilhamento, crie como "Your organisation only"
Não é possível controlar/forçar a remoção de um evento propagado indevidamente

This community only
Usuários de outras organizações no seu servidor MISP recebem os eventos

Connected communities
Usuários de organizações de servidores MISP conectados diretamente ao seu servidor MISP recebem os eventos

All communities
Usuários de todas as comunidades recebem os eventos, que são propagados livremente de um servidor MISP para outro

Sharing group
Apenas organizações selecionadas em servidores selecionados recebem os eventos

Lista de Discussão MISP-BR

Requisitos para Sincronizar uma Instância MISP com o CERT.br

Para se qualificar para sincronizar uma instância com o CERT.br uma organização deve preencher um dos requisitos abaixo:

Para informações sobre como sincronizar sua instância com o CERT.br, envie email para <misp@cert.br>.

Informações adicionais sobre MISP em Inglês

Tutoriais no Youtube
Páginas oficiais do Projeto

$Date: 2021/08/20 12:18:52 $