Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

English

Você está em: CERT.br > MISP CERT.br

• Sobre o CERT.br
• CSIRTs
• Estatísticas
• Cursos
• Projetos
• Publicações
• Palestras
• Links
• FAQ
• Mapa do site
• Contato
• Twitter
• RSS

Busca
Selecione o site Buscar em CGI.br Buscar em NIC.br Buscar em Registro.br Buscar em CERT.br Buscar em CETIC.br Buscar em CEPTRO.br Buscar em W3C.br

|
Acessibilidade do site

MISP CERT.br

O MISP (MISP - Open Source Threat Intelligence Platform) é tanto uma plataforma de software livre para compartilhamento de dados de inteligência de ameaças, quanto um conjunto de padrões abertos para compartilhamento destas informações.

O CERT.br tem incentivado o uso de MISP para compartilhamento de informações de ameaças na comunidade de CSIRTs brasileiros como uma forma de automatizar este processo, utilizando uma plataforma aberta, gratuita e amplamente utilizada pela comunidade internacional.

Nesta página estão disponíveis os seguintes conteúdos:

Workshops MISP promovidos pelo CERT.br

Passo-a-Passo de Instalação e Configuração de uma Instância MISP

• Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu
• Passo-a-Passo de Configuração e Operação de Uma Instância
• Conceitos Importantes a Destacar
  
  
  • Sincronização de Instâncias MISP
  • Resumo comparativo entre sincronização push e pull
  • Compartilhamento e Distribuição de Eventos

Lista de Discussão MISP-BR

Requisitos para Sincronizar uma Instância MISP com o CERT.br

Informações adicionais sobre MISP em Inglês

• Tutoriais no Youtube
• Páginas oficiais do Projeto
• Páginas do PyMISP

Workshops MISP promovidos pelo CERT.br

Materiais das apresentações dos Workshops sobre MISP promovidos e ministrados pelo CERT.br:

• MISP: Boas Práticas de Instalação, Configuração e Uso
  Workshop MISP 2022, setembro de 2022, São Paulo, SP
  
• MISP: Instalação e Hardening
  Dia 1 do Workshop MISP organizado por CERT.br, ABBC e Anbima, agosto de 2021, Evento On-line
• MISP Descomplicado: Instalação, Configuração e Operação Básica
  Workshop MISP 2020, setembro de 2020, Evento On-line

Passo-a-Passo de Instalação e Configuração de uma Instância MISP

Passo-a-Passo de Instalação de MISP em um Sistema Ubuntu

• Passo-a-passo para instalação de uma instância MISP em sistemas Ubuntu, incluindo hardening do sistema operacional, configuração dos pacotes do sistema, instalação do MISP e configuração para sincronização com uma outra instância.

Passo-a-Passo de Configuração e Operação de Uma Instância

O CERT.br desenvolveu o Guia "MISP: Passo-a-Passo para Configuração e Utilização". Este é arquivo PDF com instruções, acompanhadas de capturas de tela, que passam por todo o processo de configuração de uma instância MISP, incluindo criação de organizações, contas, sincronização de servidores e distribuição de eventos.

Segue um sumário com links para partes com assuntos específicos dentro do Guia:

• Descrição dos Eventos
• Primeiro login
• Configuração da Organização que Gerencia a Instância
• Administração e Criação de Usuários
• Advanced authkeys
• Gerando novas authkeys
• Sincronização entre Instâncias/Servidores MISP (push e pull)
• Formas de Compartilhamento e Distribuição de Eventos
• Configuração da instância que receberá os eventos
• Configuração da instância que enviará os eventos
• Atualização do MISP
• Uso do MISP de Maneira Automatizada
• Exemplos de Consultas Utilizando curl
• PyMISP
• Exemplo de Código PyMISP

Considerações adicionais sobre boas práticas na utilização e configuração de MISP, incluindo sizing e recursos de hardware, uso de TLP no MISP e erros comuns a evitar, estão disponíveis nos slides do Workshop MISP realizado em setembro de 2022: MISP: Boas Práticas de Instalação, Configuração e Uso

Conceitos Importantes a Destacar

Alguns conceitos, especialmente importantes para o compartilhamento efetivo de informações via MISP são os de sincronização de instâncias e formas de distribuição de eventos.

Sincronização de Instâncias MISP

A sincronização de instâncias ou servidores é como o MISP se refere ao processo de troca de informações entre duas ou mais instâncias MISP, que:

• requer a criação de usuários "Sync User" e respectivas authkeys
• pode ser feita através de um dos seguintes mecanismos:
  
  
  • push
    • uma instância A envia os eventos para uma instância B
    • distribuição de um evento ocorre de forma automática após sua publicação
  • pull
    • uma instância B busca eventos em uma instância A
    • precisa de uma intervenção do administrador via interface web ou então de um script rodando no cron

Resumo comparativo entre sincronização push e pull:

	push	pull
Direção	A envia eventos para B	B busca eventos em A
Propagação de eventos	Automática No momento da publicação do evento	Manual Via interface do MISP ou via cron
Dados para configuração de sincronia	A manda para B: - UUID e ORGNAME B manda para A: - URL, Authkey, UUID e ORGNAME	B manda para A: - UUID e ORGNAME A manda para B: - URL, Authkey, UUID e ORGNAME
Criação de contas e servidores para sincronia	B cria: - Org. local com os dados de A - Sync-User para A na Org. local criada A cria: - Servidor de sincronia, com a opção push marcada, com os dados de B	B cria: - Servidor de sincronia, com a opção pull marcada, com os dados de A A cria: - Org. local com os dados de B - Sync-User com "Authkey read only" para B na Org. local criada
Configuração de Rede	Bprecisa permitir conexões vindas de A na porta 443/TCP	Aprecisa permitir conexões vindas de B na porta 443/TCP

Compartilhamento e Distribuição de Eventos

O MISP permite cinco configurações diferentes para o compartilhamento e distribuição de eventos:

Your organisation only

Apenas usuários da sua organização recebem os eventos

IMPORTANTE: se não souber como será o compartilhamento, crie como "Your organisation only"

Não é possível controlar/forçar a remoção de um evento propagado indevidamente

This community only

Usuários de outras organizações no seu servidor MISP recebem os eventos

Connected communities

Usuários de organizações de servidores MISP conectados diretamente ao seu servidor MISP recebem os eventos

All communities

Usuários de todas as comunidades recebem os eventos, que são propagados livremente de um servidor MISP para outro

Sharing group

Apenas organizações selecionadas em servidores selecionados recebem os eventos

Lista de Discussão MISP-BR

O CERT.br mantém uma lista para discussão de assuntos relacionados com instalação, configuração e implantação de instâncias MISP. A lista é destinada a profissionais que estão implantando ou operando instâncias MISP.

Para se inscrever mande mail para misp-br-request at listas.cert.br com a palavra subscribe no Subject.

Requisitos para Sincronizar uma Instância MISP com o CERT.br

Para se qualificar para sincronizar uma instância com o CERT.br uma organização deve preencher um dos requisitos abaixo:

• Ser um CSIRT listado na página do CERT.br; ou
• Fazer parte de algum grupo de confiança e cooperação setorial.

Para informações sobre como sincronizar sua instância com o CERT.br, envie email para <[email protected]>.

Informações adicionais sobre MISP em Inglês

Tutoriais no Youtube

• MISP General Usage Training - Part 1 of 2, Andras Iklody, Alexandre Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 08, 2021, Duration: 3:42:50
• MISP General Usage Training - Part 2 of 2, Andras Iklody, Alexandre Dulaunoy (CIRCL, LU), FIRST Workshop Series, April 09, 2021, Duration: 3:40:53
• Writing Meaningful Threat Intel Reports in MISP, Andras Iklody, Alexandre Dulaunoy, Sami Mokaddem, FIRSTCON21 | Virtual Edition 2.0 - Workshop Series, June 17, 2021, Duration: 2:32:45
• MISP Training Module 1 - An Introduction to Cybersecurity Information Sharing, CIRCL YouTube Channel, Duration: 1:06:33
• MISP Training Module 2 - General usage of MISP, CIRCL YouTube Channel, Duration: 1:08:54
• MISP Tutorial - Enablings Feeds, CIRCL YouTube Channel, Duration: 0:34
• MISP Tutorial - Create an Event - Part1, CIRCL YouTube Channel, Duration: Duration 5:33
• MISP Event graph demo, CIRCL YouTube Channel, Duration: 3:04
• PyMISP and MISP Objects: a door to new opportunities, by Raphael Vinot, MISP Summit 2017

Páginas oficiais do Projeto

• MISP - Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing
  https://www.misp-project.org/
• MISP Documentation
  https://www.misp-project.org/documentation/
• MISP Standard Collaborative Intelligence
  https://www.misp-standard.org/
• MISP Concepts Cheat Sheet
  https://www.misp-project.org/misp-training/cheatsheet.pdf
• MISP Project GitHub
  https://github.com/MISP

Páginas do PyMISP

• PyMISP - Python Library to Access MISP
  https://pymisp.readthedocs.io/en/latest/README.html
• PyMISP Documentation
  https://pymisp.readthedocs.io/en/latest/
• PyMISP GitHub
  https://github.com/MISP/PyMISP
• PyMISP Tutorial (Full Overview)
  https://github.com/MISP/PyMISP/blob/main/docs/tutorial/FullOverview.ipynb

$Date: 2022/10/11 16:38:44 $