Coletar registros de IOC do MISP

Este documento explica como ingerir registros de IOC (indicadores de comprometimento) do MISP (Malware Information Sharing Platform) no Google Security Operations usando o Bindplane. O analisador processa os dados nos formatos CSV e JSON. Ele extrai atributos de IOC, como endereços IP, domínios, hashes e URLs, mapeando-os para um modelo de dados unificado (UDM) com detalhes de ameaças, como gravidade, confiança e descrições. O analisador processa entradas de IOC únicas e múltiplas nos dados de entrada, normalizando-as em uma saída UDM consistente.

Antes de começar

Verifique se você tem os pré-requisitos a seguir:

• Uma instância do Google SecOps.
• Um host Linux com systemd.
• Se você estiver executando um proxy, verifique se as portas do firewall estão abertas de acordo com os requisitos do agente do Bindplane.
• Acesso privilegiado ao seu servidor MISP.

Receber o arquivo de autenticação de ingestão do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM > Agentes de coleta.
3. Baixe o arquivo de autenticação de ingestão.
   • Salve o arquivo de forma segura no sistema em que o Bindplane será instalado.

Receber o ID do cliente do Google SecOps

1. Faça login no console do Google SecOps.
2. Acesse Configurações do SIEM*> Perfil.
3. Copie e salve o ID do cliente na seção Detalhes da organização.

Receber credenciais da API MISP

1. Faça login na interface da Web do MISP como administrador.
2. Acesse Administração > Listar chaves de autenticação.
3. Clique em Adicionar chave de autenticação.
4. Informe os seguintes detalhes de configuração:
   • Usuário: selecione a conta de usuário associada à chave.
   • Opcional: IPs permitidos: especifique os endereços IP permitidos para a chave.
   • Validade: deixe em branco se não quiser definir uma data de validade ou defina conforme necessário.
5. Clique em Enviar.
6. Copie e salve a chave de API em um local seguro.
7. Clique em Anotei minha chave.

Configurar a exportação de dados do MISP

1. Instale o PyMISP no seu servidor MISP:

   pip3 install pymisp
   

2. Crie o diretório de exportação:

   sudo mkdir -p /opt/misp/scripts
   sudo mkdir -p /opt/misp/ioc_export
   

3. Crie o arquivo de credenciais /opt/misp/scripts/keys.py:

   misp_url = 'https://<MISP_SERVER_URL>'
   misp_key = '<MISP_API_KEY>'
   misp_verifycert = True
   misp_client_cert = ''
   

   • Substitua <MISP_SERVER_URL> pelo URL do servidor MISP.
   • Substitua <MISP_API_KEY> pela chave de API dos pré-requisitos.

4. Crie o script de exportação /opt/misp/scripts/misp_export.py:

   #!/usr/bin/env python3
   # -*- coding: utf-8 -*-
   import argparse
   from pymisp import ExpandedPyMISP
   from keys import misp_url, misp_key, misp_verifycert
   
   if __name__ == '__main__':
       parser = argparse.ArgumentParser(description='Export MISP IOCs to CSV format.')
       parser.add_argument("--controller", default='attributes',
                           help="Controller to use for search (events, objects, attributes)")
       parser.add_argument("--event_id",
                           help="Event ID to fetch. Without it, fetches recent data.")
       parser.add_argument("--attributes", nargs='*',
                           help="Requested attributes for CSV export")
       parser.add_argument("--misp_types", nargs='+',
                           help="MISP types to fetch (ip-src, hostname, domain, etc.)")
       parser.add_argument("--context", action='store_true',
                           help="Add event level context (tags, metadata)")
       parser.add_argument("--outfile", required=True,
                           help="Output file to write the CSV data")
       parser.add_argument("--last", required=True,
                           help="Time period: days (d), hours (h), minutes (m) - e.g., 1d, 12h, 30m")
   
       args = parser.parse_args()
   
       api = ExpandedPyMISP(misp_url, misp_key, misp_verifycert, debug=False)
   
       response = api.search(
           controller=args.controller,
           return_format='csv',
           type_attribute=args.misp_types,
           publish_timestamp=args.last,
           include_context=args.context,
           requested_attributes=args.attributes or None
       )
   
       with open(args.outfile, 'w') as response_file:
           response_file.write(response)
   

   1. Torne o script executável:

   sudo chmod +x /opt/misp/scripts/misp_export.py
   

   Programar exportações de dados do MISP

   1. Crie exportações programadas usando crontab:

   sudo crontab -e
   

5. Adicione as seguintes entradas de cron:

   # Export different IOC types daily with context
   0 0 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/domains.csv --misp_types domain --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 1 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-src.csv --misp_types ip-src --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 2 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-dst.csv --misp_types ip-dst --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 3 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/urls.csv --misp_types url --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 4 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/sha256.csv --misp_types sha256 --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 5 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/filenames.csv --misp_types filename --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 6 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/registries.csv --misp_types regkey --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 7 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/mutexes.csv --misp_types mutex --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   

6. Se quiser, programe uma extração de feeds do MISP:

   23 0 * * * curl --insecure --header "Authorization: <MISP_API_KEY>" --header "Accept: application/json" --header "Content-Type: application/json" https://<MISP_SERVER_URL>/feeds/fetchFromAllFeeds
   

Instalar o agente do Bindplane

Instale o agente do Bindplane no sistema operacional Linux de acordo com as instruções a seguir.

Instalação do Linux

1. Abra um terminal com privilégios de root ou sudo.

2. Execute este comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh
   

Outros recursos de instalação

• Para mais opções de instalação, consulte o guia de instalação.

Configurar o agente do Bindplane para ingerir registros do MISP e enviar ao Google SecOps

1. Acesse o arquivo de configuração:

   • Localize o arquivo config.yaml. Normalmente, ele fica no diretório /etc/bindplane-agent/ no Linux.
   • Abra o arquivo usando um editor de texto (por exemplo, nano, vi).

2. Edite o arquivo config.yaml da seguinte forma:

   receivers:
       filelog:
           file_path: /opt/misp/ioc_export/*.log
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'MISP_IOC'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                 - filelog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Substitua <CUSTOMER_ID> pelo ID de cliente real dos pré-requisitos.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho em que o arquivo de autenticação foi salvo.

Reinicie o agente do Bindplane para aplicar as mudanças

1. Para reiniciar o agente do Bindplane em Linux, execute o seguinte comando:

   sudo systemctl restart observiq-otel-collector
   

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.