Raccogliere i log IOC di MISP

Questo documento spiega come importare i log IOC (Indicator of Compromise) di MISP (Malware Information Sharing Platform) in Google Security Operations utilizzando Bindplane. Il parser elabora i dati nei formati CSV e JSON. Estrae gli attributi IOC come indirizzi IP, domini, hash e URL, mappandoli a un modello UDM (Unified Data Model) insieme ai dettagli delle minacce come gravità, confidenza e descrizioni. Il parser gestisce voci IOC singole e multiple all'interno dei dati di input, normalizzandole in un output UDM coerente.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

• Un'istanza Google SecOps.
• Un host Linux con systemd.
• Se l'agente viene eseguito tramite un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
• Accesso con privilegi al server MISP.

Recuperare il file di autenticazione importazione di Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM > Agenti di raccolta.
3. Scarica il file di autenticazione importazione.
   • Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

1. Accedi alla console Google SecOps.
2. Vai a Impostazioni SIEM*> Profilo.
3. Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Ottenere le credenziali API MISP

1. Accedi all'interfaccia web di MISP come amministratore.
2. Vai ad Amministrazione > Elenca chiavi di autenticazione.
3. Fai clic su Aggiungi chiave di autenticazione.
4. Fornisci i seguenti dettagli di configurazione:
   • Utente: seleziona l'account utente associato alla chiave.
   • (Facoltativo) IP consentiti: specifica gli indirizzi IP consentiti per la chiave.
   • Scadenza: lascia vuoto per nessuna scadenza o imposta in base alle esigenze.
5. Fai clic su Invia.
6. Copia e salva la chiave API in un luogo sicuro.
7. Fai clic su Ho annotato la mia chiave.

Configura l'esportazione dei dati MISP

1. Installa PyMISP sul server MISP:

   pip3 install pymisp
   

2. Crea la directory di esportazione:

   sudo mkdir -p /opt/misp/scripts
   sudo mkdir -p /opt/misp/ioc_export
   

3. Crea il file delle credenziali /opt/misp/scripts/keys.py:

   misp_url = 'https://<MISP_SERVER_URL>'
   misp_key = '<MISP_API_KEY>'
   misp_verifycert = True
   misp_client_cert = ''
   

   • Sostituisci <MISP_SERVER_URL> con l'URL del server MISP.
   • Sostituisci <MISP_API_KEY> con la chiave API dei prerequisiti.

4. Crea lo script di esportazione /opt/misp/scripts/misp_export.py:

   #!/usr/bin/env python3
   # -*- coding: utf-8 -*-
   import argparse
   from pymisp import ExpandedPyMISP
   from keys import misp_url, misp_key, misp_verifycert
   
   if __name__ == '__main__':
       parser = argparse.ArgumentParser(description='Export MISP IOCs to CSV format.')
       parser.add_argument("--controller", default='attributes',
                           help="Controller to use for search (events, objects, attributes)")
       parser.add_argument("--event_id",
                           help="Event ID to fetch. Without it, fetches recent data.")
       parser.add_argument("--attributes", nargs='*',
                           help="Requested attributes for CSV export")
       parser.add_argument("--misp_types", nargs='+',
                           help="MISP types to fetch (ip-src, hostname, domain, etc.)")
       parser.add_argument("--context", action='store_true',
                           help="Add event level context (tags, metadata)")
       parser.add_argument("--outfile", required=True,
                           help="Output file to write the CSV data")
       parser.add_argument("--last", required=True,
                           help="Time period: days (d), hours (h), minutes (m) - e.g., 1d, 12h, 30m")
   
       args = parser.parse_args()
   
       api = ExpandedPyMISP(misp_url, misp_key, misp_verifycert, debug=False)
   
       response = api.search(
           controller=args.controller,
           return_format='csv',
           type_attribute=args.misp_types,
           publish_timestamp=args.last,
           include_context=args.context,
           requested_attributes=args.attributes or None
       )
   
       with open(args.outfile, 'w') as response_file:
           response_file.write(response)
   

   1. Rendi eseguibile lo script:

   sudo chmod +x /opt/misp/scripts/misp_export.py
   

   Pianificare le esportazioni di dati MISP

   1. Crea esportazioni programmate utilizzando crontab:

   sudo crontab -e
   

5. Aggiungi le seguenti voci cron:

   # Export different IOC types daily with context
   0 0 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/domains.csv --misp_types domain --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 1 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-src.csv --misp_types ip-src --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 2 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/ip-dst.csv --misp_types ip-dst --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 3 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/urls.csv --misp_types url --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 4 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/sha256.csv --misp_types sha256 --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 5 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/filenames.csv --misp_types filename --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 6 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/registries.csv --misp_types regkey --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   0 7 * * * python3 /opt/misp/scripts/misp_export.py --outfile /opt/misp/ioc_export/mutexes.csv --misp_types mutex --last 1d --context --attributes uuid event_id category type value comment to_ids date attribute_tag event_info
   

6. (Facoltativo) Pianifica un pull dei feed da MISP:

   23 0 * * * curl --insecure --header "Authorization: <MISP_API_KEY>" --header "Accept: application/json" --header "Content-Type: application/json" https://<MISP_SERVER_URL>/feeds/fetchFromAllFeeds
   

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Linux seguendo queste istruzioni.

Installazione di Linux

1. Apri un terminale con privilegi root o sudo.

2. Esegui questo comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-otel-collector/releases/latest/download/install_unix.sh)" install_unix.sh
   

Risorse aggiuntive per l'installazione

• Per ulteriori opzioni di installazione, consulta la guida all'installazione.

Configura l'agente Bindplane per importare i log MISP e inviarli a Google SecOps

1. Accedi al file di configurazione:

   • Individua il file config.yaml. In genere si trova nella directory /etc/bindplane-agent/ su Linux.
   • Apri il file utilizzando un editor di testo (ad esempio nano, vi).

2. Modifica il file config.yaml come segue:

   receivers:
       filelog:
           file_path: /opt/misp/ioc_export/*.log
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'MISP_IOC'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                 - filelog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Sostituisci <CUSTOMER_ID> con il tuo ID cliente effettivo dai prerequisiti.
   • Aggiorna /path/to/ingestion-authentication-file.json al percorso in cui è stato salvato il file di autenticazione.

Riavvia l'agente Bindplane per applicare le modifiche

1. Per riavviare l'agente Bindplane in Linux, esegui questo comando:

   sudo systemctl restart observiq-otel-collector
   

Tabella di mappatura UDM

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.