Recopila registros de IOC de MISP

En este documento, se explica cómo transferir registros de IOC de MISP (Malware Information Sharing Platform) a Google Security Operations con Bindplane. El analizador procesa los datos en formatos CSV y JSON. Extrae atributos de IOC, como direcciones IP, dominios, hashes y URLs, y los asigna a un modelo de datos unificado (UDM) junto con detalles de amenazas, como gravedad, confianza y descripciones. El analizador controla las entradas de IOC únicas y múltiples dentro de los datos de entrada, y las normaliza en una salida de UDM coherente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Es una instancia de Google SecOps.
• Un host de Linux con systemd.
• Si se ejecuta detrás de un proxy, asegúrate de que los puertos de firewall estén abiertos según los requisitos del agente de Bindplane.
• Acceso con privilegios a tu servidor de MISP

Obtén el archivo de autenticación de transferencia de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM > Agentes de recopilación.
3. Descarga el archivo de autenticación de transferencia.
   • Guarda el archivo de forma segura en el sistema en el que se instalará BindPlane.

Obtén el ID de cliente de Google SecOps

1. Accede a la consola de Google SecOps.
2. Ve a Configuración de SIEM*> Perfil.
3. Copia y guarda el ID de cliente de la sección Detalles de la organización.

Obtén credenciales de la API de MISP

1. Accede a la interfaz web de MISP como administrador.
2. Ve a Administración > List Auth Keys.
3. Haz clic en Agregar clave de autenticación.
4. Proporciona los siguientes detalles de configuración:
   • Usuario: Selecciona la cuenta de usuario asociada con la clave.
   • Opcional: IPs permitidas: Especifica las direcciones IP permitidas para la clave.
   • Vencimiento: Deja el campo vacío si no quieres que venza o configúralo según sea necesario.
5. Haz clic en Enviar.
6. Copia y guarda la clave de API en una ubicación segura.
7. Haz clic en Anoté mi clave.

Configura la exportación de datos de MISP

1. Instala PyMISP en tu servidor de MISP:

   pip3 install pymisp
   

2. Crea el directorio de exportación:

   sudo mkdir -p /opt/misp/scripts
   sudo mkdir -p /opt/misp/ioc_export
   

3. Crea el archivo de credenciales /opt/misp/scripts/keys.py:

   misp_url = 'https://<MISP_SERVER_URL>'
   misp_key = '<MISP_API_KEY>'
   misp_verifycert = True
   misp_client_cert = ''
   

   • Reemplaza <MISP_SERVER_URL> por la URL de tu servidor de MISP.
   • Reemplaza <MISP_API_KEY> por la clave de API de los requisitos previos.

4. Crea la secuencia de comandos de exportación /opt/misp/scripts/misp_export.py:

   #!/usr/bin/env python3
   # -*- coding: utf-8 -*-
   import argparse
   from pymisp import ExpandedPyMISP
   from keys import misp_url, misp_key, misp_verifycert
   
   if __name__ == '__main__':
       parser = argparse.ArgumentParser(description='Export MISP IOCs to CSV format.')
       parser.add_argument("--controller", default='attributes',
                           help="Controller to use for search (events, objects, attributes)")
       parser.add_argument("--event_id",
                           help="Event ID to fetch. Without it, fetches recent data.")
       parser.add_argument("--attributes", nargs='*',
                           help="Requested attributes for CSV export")
       parser.add_argument("--misp_types", nargs='+',
                           help="MISP types to fetch (ip-src, hostname, domain, etc.)")
       parser.add_argument("--context", action='store_true',
                           help="Add event level context (tags, metadata)")
       parser.add_argument("--outfile", required=True,
                           help="Output file to write the CSV data")
       parser.add_argument("--last", required=True,
                           help="Time period: days (d), hours (h), minutes (m) - e.g., 1d, 12h, 30m")
   
       args = parser.parse_args()
   
       api = ExpandedPyMISP(misp_url, misp_key, misp_verifycert, debug=False)
   
       response = api.search(
           controller=args.controller,
           return_format='csv',
           type_attribute=args.misp_types,
           publish_timestamp=args.last,
           include_context=args.context,
           requested_attributes=args.attributes or None
       )
   
       with open(args.outfile, 'w') as response_file:
           response_file.write(response)
   

   1. Haz que la secuencia de comandos sea ejecutable:

   sudo chmod +x /opt/misp/scripts/misp_export.py
   

   Programa exportaciones de datos de MISP

   1. Crea exportaciones programadas con crontab:

   sudo crontab -e
   

5. Agrega las siguientes entradas de cron:

   # Export different IOC types daily with context
   0 0 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/domains.csv --misp_types domain --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 1 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-src.csv --misp_types ip-src --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 2 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-dst.csv --misp_types ip-dst --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 3 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/urls.csv --misp_types url --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 4 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/sha256.csv --misp_types sha256 --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 5 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/filenames.csv --misp_types filename --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 6 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/registries.csv --misp_types regkey --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 7 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/mutexes.csv --misp_types mutex --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   

6. De manera opcional, programa una extracción de feeds desde MISP:

   23 0 * * * curl --insecure --header "Authorization: <MISP_API_KEY>" --header "Accept: application/json" --header "Content-Type: application/json" https://<MISP_SERVER_URL>/feeds/fetchFromAllFeeds
   

Instala el agente de BindPlane

Instala el agente de Bindplane en tu sistema operativo Linux según las siguientes instrucciones.

Instalación en Linux

1. Abre una terminal con privilegios de raíz o sudo.

2. Ejecuta el siguiente comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalación adicionales

• Para obtener más opciones de instalación, consulta la guía de instalación.

Configura el agente de BindPlane para que ingiera registros de MISP y los envíe a Google SecOps

1. Accede al archivo de configuración:

   • Ubica el archivo config.yaml. Por lo general, se encuentra en el directorio /etc/bindplane-agent/ en Linux.
   • Abre el archivo con un editor de texto (por ejemplo, nano, vi).

2. Edita el archivo config.yaml de la siguiente manera:

   receivers:
       filelog:
           file_path: /opt/misp/ioc_export/*.log
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'MISP_IOC'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                 - filelog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Reemplaza <CUSTOMER_ID> por tu ID de cliente real de los requisitos previos.
   • Actualiza /path/to/ingestion-authentication-file.json a la ruta de acceso en la que se guardó el archivo de autenticación.

Reinicia el agente de Bindplane para aplicar los cambios

1. Para reiniciar el agente de Bindplane en Linux, ejecuta el siguiente comando:

   sudo systemctl restart observiq-otel-collector
   

Tabla de asignación de UDM

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.