::: 정보보안 :::

MISP 사용해보기 2 - Feed 추가와 데이터 다운로드

곰탱이푸우 2021. 6. 9. 16:48

MISP는 외부의 OSINT 공유 정보를 Feed 기능을 통해 가져올 수 있다.

CIRCL OSINT Feed, The Botvrij.eu Data 등 2개의 Feed를 목록에서 기본적으로 확인할 수 있고, MISP에서 제공하는 65개 Feed를 추가할 수 있다.

 

유형별로 대표적인 Feed들을 분류하면 다음과 같다. (더보기 클릭)

더보기

악성코드 정보

  • CIRCL (룩셈부르크 침해사고대응센터)
  • URL Haus Malwares URLs (abuse.ch)
  • malshare.com (malshare.com)
  • Malware Bazaar (abuse.ch)
  • CyberCure - Hash Feed (cybercure.ai)

 

사이버 범죄

  • cybercrime-tracker-all (cybercrime-tracker.net)
  • cybercrime-tracker hashlist 
  • cybercrime-tracker gatelist

 

피싱

  • Phishtank (phishtank.com)
  • OpenPhish (openphish.com)
  • PhishScore (phishstat.info)

 

악의적인 네트워크 정보

  • Feodo IP Blocklist (abuse.ch)
  • CyberCure - IP Feed (cybercure.ai)
  • CyberCure - Blocked URL IP Feed (cybercure.ai)
  • Tor exit nodes, Tor ALL nodes (dan.me.uk)

 

위협 인텔리전스

  • Threatfox (abuse.sh)
  • DigitalSide Threat-Intel OSINT Feed (osint.digitalside.it)
  • Metasploit exploits with CVE assigned (ecrimelabs.net)

 

그 외에도 다수의 IP, URL, DNS, Mirai 등의 Feed 목록을 제공한다.

 

다수의 Feed를 활성화 할 경우 데이터베이스 용량을 많이 차지 하기 때문에 주의가 필요하다.

  • 약 16개 Feed 활성화 이후 DB 파일이 80G 이상으로 급증했다.
  • 테스트는 2~3개 Feed만 활성화 하고 진행한다.
  • 실환경에 구축할 경우 다수의 MISP 노드를 구축하고, 각 노드 별로 담당 Feed를 구분해서 지정한다.

 

본문은 아래 영상의 내용을 정리한 것이다.

 

 

1. Feed 설정

1.1. Feed 목록 업데이트 

Sync Actions → List Feeds 로 이동한다.

 

Load default feed metadata를 클릭하면 Feed 목록이 추가된다. 

 

1.2. 필요한 Feed 활성화 

예제는 CICRL - 1번, PhishTank - 8번을 체크하고 Enable Selected를 클릭한다.

 

1.3. 선택한 Feed 데이터 다운로드 

Fetch and store all feed data를 클릭하면 활성화 된 Feed의 데이터를 다운로드한다.

 

 

1.4. Jobs에서 정상 동작 확인 

Administration → Jobs로 이동하면 진행 중인 작업을 확인할 수 있다.

 

CIRCL feed는 다운로드가 상당히 오래 걸린다. 

 

2. Feed 데이터 확인

2.1. 위협지표 OSINT 데이터 추가 확인 

Event Actions → List Event로 이동하여 ID를 클릭하면 오름차순 또는 내림차순으로 정렬할 수 있다.

 

Clusters 컬럼이나 Tags 컬럼을 확인하면 어떤 유형의 위협 지표인지, 출처가 어디인지, 공개 등급 등 다양한 정보를 식별할 수 있다.

 

 

2.2. 정보 조회 및 관련 링크 확인

이벤트 상세 정보 확인

각 이벤트의 ID를 클릭하면 상세 정보를 확인할 수 있다.

 

ATT&CK Matrix

Galaxies에 ATT&CK TID가 있으면, ATT&CK Matrix 탭에서 Matrix 형태로 조회할 수 있다.

 

Correltaion Graph

또한 Correlation graph를 통해 관련 지표, 태그, 이벤트, Galaxy (Cluster), TID 등의 상관 관계를 파악할 수 있다.

 

Attributes

Attribute에서는 해시, IP, URL 등 위협 지표, VirusTotal, 관련 분석 보고서 (블로그, PDF, 웹사이트) 등을 확인할 수 있다.

 

우려한 대로 Attribute가 10,000건 이상 되는 이벤트는 조회하는데 상당히 오래 걸리는 것을 확인할 수 있다.

 

2.3. 해당 Event 관련 위협 지표 추가

MISP 사용해보기 1 - 기본 설정과 이벤트 추가 의 4.2. 해당 Event 관련 위협 지표 추가 내용을 참고한다.

 

2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 1 - 기본 설정과 이벤트 추가

 

MISP 사용해보기 1 - 기본 설정과 이벤트 추가

본문은 아래 영상의 내용을 정리한 것이다. Intro to MISP 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. Quick Start 문서는 워낙

www.bearpooh.com