MISP (Malware Information Sharing Platform & Threat Sharing)
Que es MISP
Podemos definir MISP como un software de código abierto para recopilar, compartir, almacenar y correlacionar los indicadores de compromiso de ataques dirigidos, inteligencia sobre amenazas, información de fraude financiero o información sobre vulnerabilidades.
Bueno ahora que conocemos la herramienta comenzaremos con la instalación, para ello utilizaremos Ubuntu 16.04 y Doker para la instalación.
Definiremos que es Docker antes de instalar, es un proyecto de código abierto que automatiza el despliegue de aplicaciones dentro de contenedores de software, proporcionando una capa adicional de abstracción y automatización de Virtualización a nivel de sistema operativo en Linux.
Ventajas ofrecidas por MISP
- Almacenamiento centralizado de malware y ataques ya detectados.
- Capacidad de crear relaciones de malware con sus atributos
- Posibilidad de crear reglas para distintos dispositivos como IPS/IDS, NIDS, etc.
- Posibilidad de intercambio de inteligencia y la integración con otros MISP.
- Es una plataforma OpenSource
Preparación del ambiente para la instalación de MISP.
-
sera la instalacion de Doker ejecutaremos el siguiente comando:
thanatos@caronte:~$sudo curl –sSL https://get.docker.com | sh
-
Una vez instalado docker, nos pedirá otorgar permisos al usuario y ejecutaremos el siguiente comando:
thanatos@caronte:~$sudo usermod –aG docker thanatos
-
Terminada la instalación iniciamos Docker y continuamos con la instalacion de MISP con el siguiente comando:
thanatos@caronte:~$sudo service docker start -
Instalamos Git para poder clonar el directorio de MISP desde GitHub con el siguiente comando:
thanatos@caronte:~$sudo apt-get install git –y -
Crearemos el directorio misp y accederemos a el
thanatos@caronte:~$sudo mkdir /misp thanatos@caronte:~$cd /misp -
Ejecutaremos el siguiente comando para clonar el repositorio:
thanatos@caronte:~$sudogit clone https://github.com/harvard-itsecurity/docker-misp.git
thanatos@caronte:/misp$ cd docker-misp/ -
Modificamos el fichero build.sh para así cambiar tanto las contraseñas de root y MISP para el MySQL
thanatos@caronte:/misp/docker-misp$ sudo build.sh
-
Ahora modificaremos el archivo container
thanatos@caronte:/misp/docker-misp$ sudo vim container
-
Ejecutamos el build, este proceso toma algunos minutos .
thanatos@caronte:/misp$ sudo ./build.sh
-
Una vez terminada la instalacion iniciaremos la base de datos para proceder con la utilización de MISP.
thanatos@caronte:/misp/docker-misp$ sudo docker run -it –rm \ -v /docker/misp-db:/var/lib/mysql \ harvarditsecurity/misp /init-db
-
Ahora solo nos quedaarrancar el contenedor harvarditsecurity/misp
thanatos@caronte:/misp/docker-misp$ sudo docker run -it -d \ -p 443:443 \ -p 80:80 \ -p 3306:3306 \ -v /docker/misp-db:/var/lib/mysql \ harvarditsecurity/misp
-
Verificaremos que el contenedor este funcionando
thanatos@caronte:/misp/docker-misp$ sudo docker ps -a
-
Ingresamos la dirección https://localhost
-
Ingresaremos con las siguientes credenciales por defecto:
Login: [email protected] Password: admin
-
Al ingresar observaremos un mensaje de alerta en rojo
Para solucionarlo primero colocamos una nueva contraseña de administrador, luego debemos ingresar a la ruta Administration/Server Settings & Maintenance/ MISP/live y seleccionar «true» y le damos al ticket.
-
En la viñeta de administración podemos crear usuarios y definir roles.
Con la creación de usuarios daremos por terminada la primera parte sobre instalación y puesta en marcha. En la próxima entrada veremos como utilizar la plataforma, uso de comandos, APIS, y integracion con otros dispositivos, pronto publicaremos la segunda parte amigos. Mayor información en el sitio del proyecto http://www.misp-project.org/
