Recoger registros de IOC de MISP

En este documento se explica cómo ingerir registros de IOC de MISP (Malware Information Sharing Platform) en Google Security Operations mediante Bindplane. El analizador procesa los datos en formato CSV y JSON. Extrae atributos de IOCs, como direcciones IP, dominios, hashes y URLs, y los asigna a un modelo de datos unificado (UDM) junto con detalles de amenazas, como la gravedad, la confianza y las descripciones. El analizador gestiona las entradas de IOC únicas y múltiples de los datos de entrada, normalizándolas en una salida UDM coherente.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

• Una instancia de Google SecOps.
• Un host Linux con systemd.
• Si se ejecuta a través de un proxy, asegúrate de que los puertos del cortafuegos estén abiertos según los requisitos del agente de Bindplane.
• Acceso privilegiado a tu servidor MISP.

Obtener el archivo de autenticación de ingestión de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recogida.
3. Descarga el archivo de autenticación de ingestión.
   • Guarda el archivo de forma segura en el sistema en el que se instalará Bindplane.

Obtener el ID de cliente de Google SecOps

1. Inicia sesión en la consola de Google SecOps.
2. Ve a Configuración de SIEM*> Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Obtener credenciales de la API de MISP

1. Inicia sesión en la interfaz web de MISP como administrador.
2. Vaya a Administración > Listar claves de autenticación.
3. Haz clic en Añadir clave de autenticación.
4. Proporcione los siguientes detalles de configuración:
   • Usuario: selecciona la cuenta de usuario asociada a la clave.
   • Opcional: IPs permitidas: especifica las direcciones IP permitidas para la clave.
   • Vencimiento: deje este campo en blanco si no quiere que caduque o defina el valor que necesite.
5. Haz clic en Enviar.
6. Copia y guarda la clave de API en un lugar seguro.
7. Haz clic en He anotado mi clave.

Configurar la exportación de datos de MISP

1. Instala PyMISP en tu servidor MISP:

   pip3 install pymisp
   

2. Crea el directorio de exportación:

   sudo mkdir -p /opt/misp/scripts
   sudo mkdir -p /opt/misp/ioc_export
   

3. Crea el archivo de credenciales /opt/misp/scripts/keys.py:

   misp_url = 'https://<MISP_SERVER_URL>'
   misp_key = '<MISP_API_KEY>'
   misp_verifycert = True
   misp_client_cert = ''
   

   • Sustituye <MISP_SERVER_URL> por la URL de tu servidor MISP.
   • Sustituye <MISP_API_KEY> por la clave de API de los requisitos previos.

4. Crea la secuencia de comandos de exportación /opt/misp/scripts/misp_export.py:

   #!/usr/bin/env python3
   # -*- coding: utf-8 -*-
   import argparse
   from pymisp import ExpandedPyMISP
   from keys import misp_url, misp_key, misp_verifycert
   
   if __name__ == '__main__':
       parser = argparse.ArgumentParser(description='Export MISP IOCs to CSV format.')
       parser.add_argument("--controller", default='attributes',
                           help="Controller to use for search (events, objects, attributes)")
       parser.add_argument("--event_id",
                           help="Event ID to fetch. Without it, fetches recent data.")
       parser.add_argument("--attributes", nargs='*',
                           help="Requested attributes for CSV export")
       parser.add_argument("--misp_types", nargs='+',
                           help="MISP types to fetch (ip-src, hostname, domain, etc.)")
       parser.add_argument("--context", action='store_true',
                           help="Add event level context (tags, metadata)")
       parser.add_argument("--outfile", required=True,
                           help="Output file to write the CSV data")
       parser.add_argument("--last", required=True,
                           help="Time period: days (d), hours (h), minutes (m) - e.g., 1d, 12h, 30m")
   
       args = parser.parse_args()
   
       api = ExpandedPyMISP(misp_url, misp_key, misp_verifycert, debug=False)
   
       response = api.search(
           controller=args.controller,
           return_format='csv',
           type_attribute=args.misp_types,
           publish_timestamp=args.last,
           include_context=args.context,
           requested_attributes=args.attributes or None
       )
   
       with open(args.outfile, 'w') as response_file:
           response_file.write(response)
   

   1. Haz que la secuencia de comandos sea ejecutable:

   sudo chmod +x /opt/misp/scripts/misp_export.py
   

   Programar exportaciones de datos de MISP

   1. Crea exportaciones programadas con crontab:

   sudo crontab -e
   

5. Añade las siguientes entradas cron:

   # Export different IOC types daily with context
   0 0 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/domains.csv --misp_types domain --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 1 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-src.csv --misp_types ip-src --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 2 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-dst.csv --misp_types ip-dst --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 3 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/urls.csv --misp_types url --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 4 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/sha256.csv --misp_types sha256 --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 5 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/filenames.csv --misp_types filename --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 6 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/registries.csv --misp_types regkey --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 7 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/mutexes.csv --misp_types mutex --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   

6. También puede programar una extracción de feeds de MISP:

   23 0 * * * curl --insecure --header "Authorization: <MISP_API_KEY>" --header "Accept: application/json" --header "Content-Type: application/json" https://<MISP_SERVER_URL>/feeds/fetchFromAllFeeds
   

Instalar el agente de Bindplane

Instala el agente Bindplane en tu sistema operativo Linux siguiendo las instrucciones que se indican a continuación.

Instalación de Linux

1. Abre un terminal con privilegios de superusuario o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para ver más opciones de instalación, consulta la guía de instalación.

Configurar el agente de Bindplane para ingerir registros de MISP y enviarlos a Google SecOps

1. Accede al archivo de configuración:

   • Busca el archivo config.yaml. Normalmente, se encuentra en el directorio /etc/bindplane-agent/ de Linux.
   • Abre el archivo con un editor de texto (por ejemplo, nano o vi).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       filelog:
           file_path: /opt/misp/ioc_export/*.log
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'MISP_IOC'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                 - filelog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Sustituye <CUSTOMER_ID> por el ID de cliente que has obtenido en los requisitos previos.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta donde se guardó el archivo de autenticación.

Reinicia el agente de Bindplane para aplicar los cambios

1. Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

   sudo systemctl restart observiq-otel-collector
   

Tabla de asignación de UDM

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.