O MISP (MISP - Open Source Threat Intelligence Platform) é tanto uma plataforma de software livre para compartilhamento de dados de inteligência de ameaças, quanto um conjunto de padrões abertos para compartilhamento destas informações.
O CERT.br tem incentivado o uso de MISP para compartilhamento de informações de ameaças na comunidade de CSIRTs brasileiros como uma forma de automatizar este processo, utilizando uma plataforma aberta, gratuita e amplamente utilizada pela comunidade internacional.
Workshops MISP promovidos pelo CERT.br
Passo-a-Passo de Instalação e Configuração de uma Instância MISP
Requisitos para Sincronizar uma Instância MISP com o CERT.br
Informações adicionais sobre MISP em Inglês
Materiais das apresentações dos Workshops sobre MISP promovidos e ministrados pelo CERT.br:
O CERT.br desenvolveu o Guia "MISP: Passo-a-Passo para Configuração e Utilização". Este é arquivo PDF com instruções, acompanhadas de capturas de tela, que passam por todo o processo de configuração de uma instância MISP, incluindo criação de organizações, contas, sincronização de servidores e distribuição de eventos.
Segue um sumário com links para partes com assuntos específicos dentro do Guia:
Advanced authkeys
authkeys
push
e pull
)
curl
Considerações adicionais sobre boas práticas na utilização e configuração de MISP, incluindo sizing e recursos de hardware, uso de TLP no MISP e erros comuns a evitar, estão disponíveis nos slides do Workshop MISP realizado em setembro de 2022: MISP: Boas Práticas de Instalação, Configuração e Uso
Alguns conceitos, especialmente importantes para o compartilhamento
efetivo de informações via MISP são os de sincronização de
instâncias e formas de distribuição de eventos.
Sincronização de Instâncias MISP
A sincronização de instâncias ou servidores é como o MISP se refere ao processo de troca de informações entre duas ou mais instâncias MISP, que:
"Sync
User"
e respectivas authkeys
push
A
envia
os eventos para uma instância B
pull
B
busca
eventos em uma instância A
cron
Resumo comparativo entre
sincronização push
e pull
:
push |
pull |
|
---|---|---|
Direção | A envia eventos
para B |
B busca eventos
em A |
Propagação de eventos |
Automática No momento da publicação do evento |
Manual Via interface do MISP ou via cron |
Dados para configuração de sincronia |
A manda
para B :- UUID e ORGNAME B manda para A :- URL , Authkey , UUID e ORGNAME |
B manda
para A :- UUID e ORGNAME A manda
para B :- URL , Authkey , UUID e ORGNAME |
Criação de contas e servidores para sincronia |
B cria:- Org. local com os dados de A - Sync-User para A na Org. local criadaA cria:- Servidor de sincronia, com a opção push marcada, com os dados de B |
B cria:- Servidor de sincronia, com a opção pull marcada, com os dados de A A cria:- Org. local com os dados de B - Sync-User com "Authkey
read only" para B na Org. local criada |
Configuração de Rede |
B precisa permitir conexões
vindas de A na porta 443/TCP |
A precisa permitir conexões
vindas de B na porta 443/TCP |
Compartilhamento e Distribuição de Eventos
O MISP permite cinco configurações diferentes para o compartilhamento e distribuição de eventos:
Your organisation only
This community only
Connected communities
All communities
Sharing group
O CERT.br mantém uma lista para discussão de assuntos relacionados com instalação, configuração e implantação de instâncias MISP. A lista é destinada a profissionais que estão implantando ou operando instâncias MISP.
Para se inscrever mande mail para
misp-br-request at listas.cert.br
com a palavra
subscribe
no Subject.
Para se qualificar para sincronizar uma instância com o CERT.br uma organização deve preencher um dos requisitos abaixo:
Para informações sobre como sincronizar sua instância com o CERT.br,
envie email para <misp@cert.br>
.
$Date: 2022/10/11 16:38:44 $