如何實時查看MISP實例的威脅情報資訊
- 2020 年 2 月 25 日
- 筆記
在這篇文章中,將會給大家介紹如何利用Misp-Dashboard實時查看來自MISP實例的威脅情報資訊。Misp-Dashboard可以幫助研究人員實時查看MISP實例(ZMQ Feeds)傳遞的數據和統計結果。Misp-Dashboard是一款儀錶盤工具,它可以作為一款威脅情報實時感知工具來使用,該工具繼承了Gamification工具來顯示每一個組織的貢獻度以及實時排名,儀錶盤內容還可以給安全操作中心(SOC)、安全研究團隊或網路安全測試人員提供威脅追蹤服務。
功能介紹
實時資訊儀錶盤
1、可訂閱來自不同MISP實例的多個ZMQ feeds; 2、可查看不同組織的實時貢獻度; 3、顯示實時可解析的威脅情報發布地理位置;
地理定位儀錶盤
1、提供歷史地理位置資訊,以支援安全團隊、CSIRT或SOC在其選區內發現威脅; 2、從特定區域獲取地理位置資訊;
貢獻度儀錶盤(集成Gamification)
1、所有組織的月貢獻度; 2、最新貢獻的組織(動態更新); 3、所有組織的貢獻等級; 4、每一個組織的貢獻類別; 5、選中組織的當前排名(動態更新);
用戶儀錶盤
1、顯示平台使用時間和使用方式; 2、登錄和貢獻時間;
趨勢儀錶盤
1、提供實時資訊以支援安全團隊、CSIRT或SOC發現威脅和惡意活動; 2、顯示更多的活動事件、分類和標籤; 3、顯示討論資訊;
工具安裝
注意:該工具目前只支援在類Unix作業系統平台上運行,比如說Linux等等。
首先,使用下列命令將項目源碼克隆至本地:
git clone https://github.com/MISP/misp-dashboard.git
然後切換到本地項目目錄中,運行下列命令:
./install_dependencies.sh
更新配置文件config.cfg,並匹配用戶本地系統,此時需要修改的參數如下:
edisGlobal -> host RedisGlobal -> port RedisGlobal -> zmq_url RedisGlobal -> misp_web_url RedisMap -> pathMaxMindDB
工具更新
重新運行install_dependencies.sh腳本來獲取新的依賴組件:
./install_dependencies.sh
對比config.cfg.default文件中的修改項,然後重新更新你的配置文件config.cfg。
請確保當前沒有zmq Python3腳本正在運行,因為該腳本會阻止項目更新:
+ virtualenv -p python3 DASHENV Already using interpreter /usr/bin/python3 Using base prefix '/usr' New python executable in /home/steve/code/misp-dashboard/DASHENV/bin/python3 Traceback (most recent call last): File "/usr/bin/virtualenv", line 9, in <module> load_entry_point('virtualenv==15.0.1', 'console_scripts', 'virtualenv')() File "/usr/lib/python3/dist-packages/virtualenv.py", line 719, in main symlink=options.symlink) File "/usr/lib/python3/dist-packages/virtualenv.py", line 942, in create_environment site_packages=site_packages, clear=clear, symlink=symlink)) File "/usr/lib/python3/dist-packages/virtualenv.py", line 1261, in install_python shutil.copyfile(executable, py_executable) File "/usr/lib/python3.5/shutil.py", line 115, in copyfile with open(dst, 'wb') as fdst: OSError: [Errno 26] Text file busy: '/home/steve/code/misp-dashboard/DASHENV/bin/python3'
接下來,運行下列命令重啟系統:
./start_all.sh
或
./start_zmq.sh ./server.py &
啟動系統
注意:Misp-Dashboard僅需常規許可權即可運行,無需使用root許可權。
確保本地已運行了Redis伺服器:
redis-server --port 6250
激活你的Virtualenv環境:
. ./DASHENV/bin/activate
啟用zmq_subscriber來監聽MISP feed:
./zmq_subscriber.py &
開啟調度程式來處理接收到的資訊:
./zmq_dispatcher.py &
開啟Flask伺服器:
./server.py &
訪問介面:
http://localhost:8001/
或者,你也可以直接運行start_all.sh腳本來自動運行上述所有命令。
身份認證
我們可以在config/config.cfg文件中設置「auth_enabled = True」來啟用身份認證功能。
zmq_subscriber選項
A zmq subscriber. It subscribe to a ZMQ then redispatch it to the MISP-dashboard optional arguments: -h, --help show this help message and exit -n ZMQNAME, --name ZMQNAME The ZMQ feed name -u ZMQURL, --url ZMQURL The URL to connect to
使用mod_wsgi在產品中完成部署
安裝Apache mod-wsgi(Python 3):
sudo apt-get install libapache2-mod-wsgi-py3
如果你安裝了Python2版本的mod_wsgi,那麼舊版本的將會被替換:
The following packages will be REMOVED: libapache2-mod-wsgi The following NEW packages will be installed: libapache2-mod-wsgi-py3
接下來,配置項目文件夾許可權和文件(「/etc/apache2/sites-available/misp-dashboard.conf」):
<VirtualHost *:8001> ServerAdmin [email protected] ServerName misp.local DocumentRoot /var/www/misp-dashboard WSGIDaemonProcess misp-dashboard user=misp group=misp python-home=/var/www/misp-dashboard/DASHENV processes=1 threads=15 maximum-requests=5000 listen-backlog=100 queue-timeout=45 socket-timeout=60 connect-timeout=15 request-timeout=60 inactivity-timeout=0 deadlock-timeout=60 graceful-timeout=15 eviction-timeout=0 shutdown-timeout=5 send-buffer-size=0 receive-buffer-size=0 header-buffer-size=0 response-buffer-size=0 server-metrics=Off WSGIScriptAlias / /var/www/misp-dashboard/misp-dashboard.wsgi <Directory /var/www/misp-dashboard> WSGIProcessGroup misp-dashboard WSGIApplicationGroup %{GLOBAL} Require all granted </Directory> LogLevel info ErrorLog /var/log/apache2/misp-dashboard.local_error.log CustomLog /var/log/apache2/misp-dashboard.local_access.log combined ServerSignature Off </VirtualHost>
項目地址
Misp-Dashboard:【GitHub傳送門】
* 參考來源:MISP,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
