MISP (Malware Information Sharing Platform & Threat Sharing)

Escrito por Felipe Castañeda

Que es MISP

Podemos definir MISP como un software de código abierto para recopilar, compartir, almacenar y correlacionar los indicadores de compromiso de ataques dirigidos, inteligencia sobre amenazas, información de fraude financiero o información sobre vulnerabilidades.

Bueno ahora que conocemos la herramienta comenzaremos con la instalación, para ello utilizaremos Ubuntu 16.04 y Doker para la instalación.

Definiremos que es Docker antes de instalar, es un proyecto de código abierto que automatiza el despliegue de aplicaciones dentro de contenedores de software, proporcionando una capa adicional de abstracción y automatización de Virtualización a nivel de sistema operativo en Linux.​

Ventajas ofrecidas por MISP

  • Almacenamiento centralizado de malware y ataques ya detectados.
  • Capacidad de crear relaciones de malware con sus atributos
  • Posibilidad de crear reglas para distintos dispositivos como IPS/IDS, NIDS, etc.
  • Posibilidad de intercambio de inteligencia y la integración con otros MISP.
  • Es una plataforma OpenSource.

Preparación del ambiente para la instalación de MISP.

Lo Primero sera la instalacion de Doker

  1. Ejecutaremos el siguiente comando:
    [email protected]:~$sudo curl –sSL https://get.docker.com | sh

2. Una vez instalado docker, nos pedirá otorgar permisos al usuario y ejecutaremos el siguiente comando:
[email protected]:~$sudo usermod  –aG docker thanatos

3. Terminada la instalación iniciamos Docker y continuamos con la instalacion de MISP con el siguiente comando:

[email protected]:~$sudo service docker start

4. Instalamos Git para poder clonar el directorio de MISP desde GitHub con el siguiente comando:                    [email protected]:~$sudo apt-get install git –y

5. Crearemos el directorio misp y accederemos a el
[email protected]:~$sudo mkdir /misp
[email protected]:~$cd /misp

6. Ejecutaremos el siguiente comando para clonar el repositorio:
[email protected]:~$sudogit clone https://github.com/harvard-itsecurity/docker-misp.git

[email protected]:/misp$ cd docker-misp/

7. Modificamos el fichero build.sh para así cambiar tanto las contraseñas de root y MISP para el MySQL
[email protected]:/misp/docker-misp$ sudo build.sh

8. Ahora modificaremos el archivo container
[email protected]:/misp/docker-misp$ sudo vim container

9. Ejecutamos el build, este proceso toma algunos minutos .
[email protected]:/misp$ sudo ./build.sh

10. Una vez terminada la instalacion iniciaremos la base de datos para proceder con la utilización de MISP.
[email protected]:/misp/docker-misp$ sudo docker run -it –rm \
-v /docker/misp-db:/var/lib/mysql \
harvarditsecurity/misp /init-db

11. Ahora solo nos quedaarrancar el contenedor harvarditsecurity/misp
[email protected]:/misp/docker-misp$ sudo docker run -it -d \
-p 443:443 \
-p 80:80 \
-p 3306:3306 \
-v /docker/misp-db:/var/lib/mysql \
harvarditsecurity/misp

12. Verificaremos que el contenedor este funcionando
[email protected]:/misp/docker-misp$ sudo docker ps -a

13. Ingresamos la dirección https://localhost

14. Ingresaremos con las siguientes credenciales por defecto:
Login: [email protected]
Password: admin

15. Al ingresar observaremos un mensaje de alerta en rojo

Para solucionarlo primero colocamos una nueva contraseña de administrador, luego debemos ingresar a la ruta Administration/Server Settings & Maintenance/ MISP/live y seleccionar «true» y le damos al ticket.

16. En la viñeta de administración podemos crear usuarios y definir roles.


Con la creación de usuarios daremos por terminada la primera parte sobre instalación y puesta en marcha.
En la próxima entrada veremos como utilizar la plataforma, uso de comandos, APIS, y integracion con otros dispositivos, pronto publicaremos la segunda parte amigos.
Mayor información en el sitio del proyecto http://www.misp-project.org/ 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *