Recolha registos de IOCs do MISP

Este guia descreve os passos para carregar registos de IOC (Indicadores de comprometimento) da MISP (Malware Information Sharing Platform) para o Google Security Operations através do Bindplane. O analisador extrai IOCs de dados MISP formatados como JSON ou CSV. Analisa a entrada, mapeia os campos para o modelo de dados unificado (UDM), processa vários tipos de IOCs (como hashes de IP, domínio e ficheiros) e enriquece os dados com o contexto de informações sobre ameaças, como a confiança e a gravidade. O analisador também executa uma lógica específica para diferentes formatos de dados e processa casos com campos em falta ou não suportados.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

• Instância do Google SecOps
• Anfitrião Linux com systemd
• Se estiver a ser executado através de um proxy, as portas da firewall estão abertas
• Acesso privilegiado ao seu servidor MISP

Obtenha a chave da API MISP

1. Inicie sessão na IU Web do MISP como administrador.
2. Aceda a Administração > Listar chaves de autorização.
3. Clique em Adicionar chave de autenticação.
4. Faculte a seguinte configuração de chave:
   • Utilizador: selecione a conta de utilizador associada à chave.
   • IPs permitidos: opcionalmente, pode especificar endereços IP permitidos para a chave.
   • Copie e guarde a chave num local seguro.
   • Clique em Tomei nota da minha chave.

Configure a exportação de registos do MISP

1. Inicie sessão na sua instância do MISP através do SSH.

2. Instale o PyMISP com o seguinte comando:

   pip3 install pymisp 
   

3. Modifique o script de exportação get_csv.py com o seguinte:

   #!/usr/bin/env python3
   # -*- coding: utf-8 -*-
   
   import argparse
   
   from pymisp import ExpandedPyMISP
   from keys import misp_url, misp_key, misp_verifycert
   
   if __name__ == '__main__':
       parser = argparse.ArgumentParser(description='Get MISP data in a CSV format.')
       parser.add_argument("--controller", default='attributes', help="Attribute to use for the search (events, objects, attributes)")
       parser.add_argument("-e", "--event_id", help="Event ID to fetch. Without it, it will fetch the whole database.")
       parser.add_argument("-a", "--attribute", nargs='+', help="Attribute column names")
       parser.add_argument("-o", "--object_attribute", nargs='+', help="Object attribute column names")
       parser.add_argument("-t", "--misp_types", nargs='+', help="MISP types to fetch (ip-src, hostname, ...)")
       parser.add_argument("-c", "--context", action='store_true', help="Add event level context (tags...)")
       parser.add_argument("-f", "--outfile", help="Output file to write the CSV.")
       parser.add_argument("-l", "--last", required=True, help="can be defined in days, hours, minutes (for example 5d or 12h or 30m).")
   
       args = parser.parse_args()
       pymisp = ExpandedPyMISP(misp_url, misp_key, misp_verifycert, debug=True)
       attr = []
       if args.attribute:
           attr += args.attribute
       if args.object_attribute:
           attr += args.object_attribute
       if not attr:
           attr = None
       print(args.context)
       response = pymisp.search(return_format='csv', controller=args.controller, eventid=args.event_id, requested_attributes=attr, publish_timestamp=args.last,
                               type_attribute=args.misp_types, include_context=args.context)
   
       if args.outfile:
           with open(args.outfile, 'w') as f:
               f.write(response)
       else:
           print(response)
   

4. Edite o ficheiro keys.py para incluir as credenciais e o URL da API MISP, da seguinte forma:

   misp_url = 'https://<MISP_URL>'
   misp_key = '<MISP_API_KEY>'
   misp_verifycert = False
   misp_client_cert = ''
   

   • Substitua <MISP_URL> pelo seu IP ou nome de anfitrião do MISP.
   • Substitua <MISP_API_KEY pela chave da API real gerada anteriormente.

5. Abra o crontab com o comando crontab -e e introduza o seguinte:

   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/url.log -t "url" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/ip-dst.log -t "ip-dst" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/ip-src.log -t "ip-src" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/domain.log -t "domain" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/sha256.log -t "sha256" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/file.log -t "filename" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/registry.log -t "registry" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/mutex.log -t "mutex" -l 1d -c
   0 20 * * * python3 /opt/misp/<YOUR_EXPORT_SCRIPT_PATH> -f /opt/misp/ioc_export/threat-actor.log -t "threat-actor" -l 1d -c
   

   • Atualize <YOUR_EXPORT_SCRIPT_PATH> de acordo com a localização real do script de exportação.

Obtenha o ficheiro de autenticação de carregamento do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Agentes de recolha.
3. Transfira o ficheiro de autenticação de carregamento. Guarde o ficheiro de forma segura no sistema onde o Bindplane vai ser instalado.

Obtenha o ID de cliente do Google SecOps

1. Inicie sessão na consola Google SecOps.
2. Aceda a Definições do SIEM > Perfil.
3. Copie e guarde o ID do cliente da secção Detalhes da organização.

Instale o agente do Bindplane no servidor MISP

Instalação do Linux

1. Abra um terminal com privilégios de raiz ou sudo.

2. Execute o seguinte comando:

   sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
   

Recursos de instalação adicionais

Para ver opções de instalação adicionais, consulte o guia de instalação.

Configure o agente Bindplane para carregar ficheiros de registo MISP e enviá-los para o Google SecOps

1. Aceda ao ficheiro de configuração:
   • Localize o ficheiro config.yaml. Normalmente, encontra-se no diretório /etc/bindplane-agent/ no Linux.
   • Abra o ficheiro com um editor de texto (por exemplo, nano, vi ou Bloco de notas).

2. Edite o ficheiro config.yaml da seguinte forma:

   receivers:
       filelog:
           file_path: /opt/misp/ioc_export/*.log
           log_type: 'file'
   
   exporters:
       chronicle/chronicle_w_labels:
           compression: gzip
           # Adjust the path to the credentials file you downloaded in Step 1
           creds_file_path: '/path/to/ingestion-authentication-file.json'
           # Replace with your actual customer ID from Step 2
           customer_id: <customer_id>
           endpoint: malachiteingestion-pa.googleapis.com
           # Add optional ingestion labels for better organization
           ingestion_labels:
               log_type: 'MISP_IOC'
               raw_log_field: body
   
   service:
       pipelines:
           logs/source0__chronicle_w_labels-0:
               receivers:
                 - filelog
               exporters:
                   - chronicle/chronicle_w_labels
   

   • Substitua a porta e o endereço IP conforme necessário na sua infraestrutura.
   • Substitua <customer_id> pelo ID de cliente real.
   • Atualize /path/to/ingestion-authentication-file.json para o caminho onde o ficheiro de autenticação foi guardado na secção Obtenha o ficheiro de autenticação de carregamento do Google SecOps.

Reinicie o agente do Bindplane para aplicar as alterações

Para reiniciar o agente do Bindplane no Linux, execute o seguinte comando:

  sudo systemctl restart bindplane-agent

Tabela de mapeamento do UDM

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.