본문은 아래 영상의 내용을 정리한 것이다.
각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다.
Quick Start 문서는 워낙 빈약하고, 공식 매뉴얼은 너무 방대한 것이 문제라면 문제..
Quick Start · User guide of MISP intelligence sharing platform
Last modified: Sun Feb 28 2021 09:22:59 GMT+0100 (Central European Standard Time) Quick Start MISP (Open Source Threat Intelligence and Sharing Platform) software facilitates the exchange and sharing of threat intelligence, Indicators of Compromise (IoCs)
www.circl.lu
Demo 내용을 따라하고 이해한 다음 quick-start 문서를 참고하면 이해하는데 도움이 된다.
동영상 보고 따라하거나 공식 문서를 보면 되는데 이 문서를 정리한 목적은 다음과 같다.
- Pareto 법칙 - 아무리 복잡한 시스템도 주요 기능 20%가 전체 활용의 80%를 차지한다. 주요 기능 20%를 확인한다.
- 삽질 기록 1 - 구글링해도 관련 자료가 거의 없다. 삽질을 했으니 기록으로 남기자.
- 삽질 기록 2 - 검토 결과 유용하지 않더라도, 향후 같은 시도를 하는 사람의 참고자료로 활용한다.
- 활용 방법 공유 - 사용법을 나중에 공유하려면 어차피 정리해야 한다.
1. MISP 개요
MISP는 매우 유연하고 기능이 많아서 초기 진입 장벽이 존재한다.
- 매뉴얼은 양이 너무 많고 지나치게 상세하다.
- 반대로 Quick Start는 내용이 너무 없고, 미완성인 듯 하다.
- 구글링 해보면 MISP의 Demo 자료는 거의 없다.
1.1 정보 공유
MISP끼리 정보 공유 또는 MISP 운용 중인 조직 간의 정보 공유가 가능하다.
1.2 정보 수집과 활용
외부/내부 정보와 보강 정보 기반으로 분석, 대응, 추가 조사, 지표 공유가 가능하다.
2. 환경 준비
해당 데모는 Docker 이미지가 아닌 CIRCL이 제공하는 VMimage를 사용하였다.
- Docker 이미지는 기본 설정부터 진행해야 하지만
- 해당 VMimage는 기본적인 환경 설정과 Enhance 도구를 설정하여 사용하기 편리하다.
VMImage 파일은 다음 경로에서 확보 가능하다. (Virtual images 항목)
Download
Download and Install MISP MISP source code is available on GitHub including documentation and scripts for installation. ChangeLog contains a detailed list of updates for each software release in the core of the MISP software. MISP Install guides (stock ins
www.misp-project.org
Latest virtual images of MISP Project
vm.misp-project.org
- 2021.06.08 현재 최신 버전은 2.4.144이다.
- VirtualBox는 .ova, VMware는 -VMware.zip 확장명이다.
실제 가상 이미지 파일의 다운로드는 상당히 오래 걸린다.
VMware 이미지인 경우 다음과 같이 진행한다.
- 다운로드한 파일의 압축을 해제한다.
- VMware에서 해당 이미지를 읽는다. (그리고 Snapshot 하나 생성하는 것을 추천한다.)
- Power on 하면 끝이다. 기다리면 IP주소가 출력되고 쉘이 생성 된다.
브라우저에서 VMImage 의 화면에 출력 된 IP주소로 접속한다.
3. 기본 설정
조직 생성, 사용자 추가와 권한 관리 등 Organization과 User 설정을 진행한다.
계정 및 권한 관리
User Management and Global Actions · User guide of MISP intelligence sharing platform
No results matching ""
www.circl.lu
조직 관리
Administration · User guide of MISP intelligence sharing platform
Last modified: Wed Mar 24 2021 22:22:36 GMT+0100 (Central European Standard Time) Administration [warning] This page is under modification for updating the content. Current status: [x] Users - Reviewed/Updated on: ? [x] Organisations - Reviewed/Updated on:
www.circl.lu
3.1 패스워드 변경
관리자 계정 비밀번호를 변경한다.
최초 로그인 또는 Global Actions → My Profile → Change Password
3.2 Galaxies 업데이트
특정 그룹을 지정할 수 있는 Galaxies 목록을 업데이트 한다.
업데이트 하는데 시간이 오래 걸리므로 기다려야 한다.
Galaxies → List Galaxies → Update Galaxies
3.3. List Object Templates 업데이트
Object 정보 포맷을 관리하는 Object Templates 목록을 업데이트 한다.
Global Action → List Object Templates → Update Objects
4. Event 추가
4.1. 새로운 Event 추가
Event Actions → Add Event
Submit을 클릭하면 Event 상세 페이지로 이동한다.
신규 생성 Event는 Attribute가 없으므로 추가해야 한다.
4.2. 해당 Event 관련 위협 지표 추가
이벤트에 관련 위협 지표인 Attribute를 추가한다.
Event Actions → List Event → ID 선택 → Attribute 추가 (+ 클릭)
Category → Type 순으로 지표 속성을 선택한다.
Category와 Type 관련 내용은 다음 페이지를 참고한다. (Column이 Category, Row의 가장 좌측이 Type이다.)
Categories and Types · User guide of MISP intelligence sharing platform
No results matching ""
www.circl.lu
Value에 해당 지표의 값을 입력하고 Contextual Comment에 부가 설명을 입력한다.
가능하면 하단의 추가 내용을 입력하면 보다 정확한 정보를 관리할 수 있다.
'::: 정보보안 :::' 카테고리의 다른 글
| MISP 사용해보기 3 - 보강 지표 생성 (2) | 2021.06.09 |
|---|---|
| MISP 사용해보기 2 - Feed 추가와 데이터 다운로드 (0) | 2021.06.09 |
| TheHive: a Scalable, Open Source and Free Security Incident Response Platform (4) | 2021.06.08 |
| YETI (Your Everyday Threat Intelligence) (0) | 2021.06.07 |
| CRITs (Collaborative Reseach Into Threats) (0) | 2021.06.07 |