Você está na página 1de 4

MISP CERT.

br

Como instalar o MISP no ubuntu O MISP (MISP - Open Source Threat Intelligence
Platform) é tanto uma plataforma de software livre para compartilhamento de dados
de inteligência de ameaças, quanto um conjunto de padrões abertos para
compartilhamento destas informações.
O CERT.br tem incentivado o uso de MISP para compartilhamento de informações de
ameaças na comunidade de CSIRTs brasileiros como uma forma de automatizar este
processo, utilizando uma plataforma aberta, gratuita e amplamente utilizada pela
comunidade internacional.

Passo-a-Passo de Instalação e Configuração de uma


Instância MISP

Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu


 Passo-a-passo para instalação de uma instância MISP em
sistemas Ubuntu, incluindo hardening do sistema operacional,
configuração dos pacotes do sistema, instalação do MISP e
configuração para sincronização com uma outra instância.
 Slides apresentados no Dia 1 do Workshop MISP organizado por
CERT.br, ABBC e Anbima: MISP: Instalação e Hardening
 Slides apresentados no Workshop MISP de 2020: MISP
Descomplicado: Instalação, Configuração e Operação Básica

Passo-a-Passo de Configuração e Operação de Uma Instância


O CERT.br desenvolveu o Guia "MISP: Passo-a-Passo para Configuração e
Utilização". Este é arquivo PDF com instruções, acompanhadas de capturas de tela,
que passam por todo o processo de configuração de uma instância MISP, incluindo
criação de organizações, contas, sincronização de servidores e distribuição de
eventos.
Segue um sumário com links para partes com assuntos específicos dentro do Guia:
 Descrição dos Eventos
 Primeiro  login
 Configuração da Organização que Gerencia a Instância
 Administração e Criação de Usuários
 Advanced authkeys
 Gerando novas authkeys
 Sincronização entre Instâncias/Servidores MISP (push e pull)
 Formas de Compartilhamento e Distribuição de Eventos
 Configuração da instância que receberá os eventos
 Configuração da instância que enviará os eventos
 Atualização do MISP
 Uso do MISP de Maneira Automatizada
 Exemplos de Consultas Utilizando curl
 PyMISP
 Exemplo de Código PyMISP

Conceitos Importantes a Destacar


Alguns conceitos, especialmente importantes para o compartilhamento efetivo de
informações via MISP são os de sincronização de instâncias e formas de distribuição
de eventos.

Sincronização de Instâncias MISP


A sincronização de instâncias ou servidores é como o MISP se refere ao processo de
troca de informações entre duas ou mais instâncias MISP, que:

 requer a criação de usuários "Sync User" e


respectivas authkeys
 pode ser feita através de um dos seguintes mecanismos:

o push
 uma instância A envia os eventos para
uma instância B
 distribuição de um evento ocorre de
forma automática após sua publicação
o pull
 uma instância B busca eventos em uma
instância A
 precisa de uma intervenção do
administrador via interface web ou então
de um script rodando no cron
Resumo comparativo entre sincronização push e pull:

push pull
Direção A envia eventos para B B busca eventos em A
Propagaç Automática Manual
ão No momento da publicação do Via interface do MISP ou
de evento via cron
eventos
Dados A manda para B: B manda para A:
para
configura - UUID e ORGNAME - UUID e ORGNAME
ção B manda para A: A manda para B:
de - URL, Authkey, UUID e O - URL, Authkey, UUID e O
sincronia
RGNAME RGNAME
Criação B cria: B cria:
de contas
e - Org. local com os dados de A - Servidor de sincronia, com a
opção pull
servidore - Sync-User para A na Org.
push pull
s local criada marcada, com os dados de A
para A cria: A cria:
sincronia - Servidor de sincronia, com a
- Org. local com os dados de B
opção push
- Sync-User com "Authk
marcada, com os dados de B
ey read only"
para B na Org. local criada

Configura Bprecisa permitir conexões vindas Aprecisa permitir conexões vindas


ção
de Rede de A de B
na porta 443/TCP na porta 443/TCP

Compartilhamento e Distribuição de Eventos


O MISP permite cinco configurações diferentes para o compartilhamento e distribuição
de eventos:

Your organisation only


Apenas usuários da sua organização recebem os eventos
IMPORTANTE: se não souber como será o compartilhamento, crie como "Your
organisation only"
Não é possível controlar/forçar a remoção de um evento propagado
indevidamente

This community only


Usuários de outras organizações no seu servidor MISP recebem os eventos

Connected communities
Usuários de organizações de servidores MISP conectados diretamente ao seu
servidor MISP recebem os eventos

All communities
Usuários de todas as comunidades recebem os eventos, que são propagados
livremente de um servidor MISP para outro

Sharing group
Apenas organizações selecionadas em servidores selecionados recebem os
eventos

Lista de Discussão MISP-BR


 Lista para discussão de assuntos relacionados com instalação,
configuração e implantação de instâncias MISP. Destinada a
profissionais que estão implantando ou operando instâncias.
Link para inscrição: https://listas.cert.br/mailman/listinfo/misp-br

Requisitos para Sincronizar uma Instância MISP com o


CERT.br
Para se qualificar para sincronizar uma instância com o CERT.br uma organização
deve preencher um dos requisitos abaixo:
 Ser um CSIRT listado na página do CERT.br; ou
 Fazer parte de algum grupo de confiança e cooperação setorial.
Para informações sobre como sincronizar sua instância com o CERT.br, envie email
para <misp@cert.br>.

Informações adicionais sobre MISP em Inglês


Tutoriais no Youtube
 MISP General Usage Training - Part 1 of 2, Andras Iklody, Alexandre
Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 08, 2021,
Duration: 3:42:50
 MISP General Usage Training - Part 2 of 2, Andras Iklody, Alexandre
Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 09, 2021,
Duration: 3:40:53
 Writing Meaningful Threat Intel Reports in MISP, Andras Iklody,
Alexandre Dulaunoy, Sami Mokaddem, FIRSTCON21 | Virtual Edition
2.0 - Workshop Series, June 17, 2021, Duration: 2:32:45
 MISP Training Module 1 - An Introduction to Cybersecurity
Information Sharing, CIRCL YouTube Channel, Duration: 1:06:33
 MISP Training Module 2 - General usage of MISP, CIRCL YouTube
Channel, Duration: 1:08:54
 MISP Tutorial - Enablings Feeds, CIRCL YouTube Channel, Duration:
0:34
 MISP Tutorial - Create an Event - Part1, CIRCL YouTube Channel,
Duration: Duration 5:33
 MISP Event graph demo, CIRCL YouTube Channel, Duration: 3:04
 PyMISP and MISP Objects: a door to new opportunities, by Raphael
Vinot, MISP Summit 2017
Páginas oficiais do Projeto
 MISP - Open Source Threat Intelligence Platform & Open
Standards For Threat Information Sharing
 MISP Documentation
 MISP Standard Collaborative Intelligence
 PyMISP - Python Library to access MISP
 PyMISP documentation

Você também pode gostar