מדריך להתקנת והגדרת MISP (Malware Information Sharing Platform)

בעידן הנוכחי של איומי סייבר מתפתחים, פלטפורמת MISP מאפשרת שיתוף מודיעין בין ארגונים לשיפור אבטחת המידע. במדריך זה תלמדו כיצד להתקין ולהגדיר את MISP, כולל דרישות מערכת, התקנה על מערכת לינוקס, קונפיגורציות בסיסיות, יצירה וייבוא של אירועים, והגדרת טקסונומיות ותגיות. תבינו גם כיצד לשתף מידע עם קהילות אחרות ולשלב את המידע בכלי אבטחה נוספים. המדריך מיועד למי שיש לו ידע בסיסי במערכת לינוקס ורשתות.

דרישות מערכת

לפני שנתחיל בהתקנה, הנה דרישות המערכת עבור MISP:

  • מערכת הפעלה: Debian 10/11, Ubuntu 20.04/22.04
  • מעבד: לפחות ליבה אחת
  • זיכרון RAM: 4GB ומעלה
  • שטח דיסק: 20GB לפחות
  • גרסת PHP: 7.4 ומעלה
  • MySQL/MariaDB
  • Python 3.7 ומעלה

התקנה בסביבת Linux

כדי להתקין את MISP, יש לבצע את השלבים הבאים:

  1. עדכון חבילות המערכת:
  2. sudo apt update && sudo apt upgrade -y
  3. התקנת התלויות הנדרשות:
  4. sudo apt install git curl nginx mysql-server redis-server \
    php php-cli php-fpm php-mysql php-redis php-curl php-xml \
    php-mbstring php-zip php-bcmath php-gd php-xmlrpc \
    python3 python3-pip
  5. הורדת הקוד של MISP:
  6. git clone https://github.com/MISP/MISP.git /var/www/MISP
  7. הגדרת הרשאות:
  8. sudo chown -R www-data:www-data /var/www/MISP
  9. הגדר את ה-Nginx:
  10. sudo nano /etc/nginx/sites-available/misp

    הכנס את הקוד הבא לקובץ:

    server {
        listen 80;
        server_name ;
    
        location / {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }
  11. הפעל את השירותים והם לאחור את הקונפיגורציה:
  12. sudo systemctl restart nginx

קונפיגורציה בסיסית

לאחר ההתקנה, יש להפעיל את MISP ולהגדיר מספר פרמטרים בסיסיים:

  1. הפק את הקובץ .env:
  2. cd /var/www/MISP/app
    cp .env.example .env
  3. ערוך את הקובץ .env להוסיף את פרטי התחברות למסד הנתונים שלך:
  4. DB_HOST=mysql
    DB_USER=
    DB_PASS=
    DB_NAME=misp
  5. פעל בהרצת סקריפט ההגדרה:
  6. sudo -u www-data /var/www/MISP/app/Console/cake Misp rest setup

יצירה וייבוא של אירועים

כעת, נלמד כיצד ליצור ולייבא אירועים ב-MISP. אירועים הם מאגרי מידע של אופי האיומים:

  1. כנס למחלקת האירועים ב-MISP.
  2. בחר “יצירת אירוע” וכנס את הפרטים המתאימים.

ייבוא אירועים

ייבוא אירועים יכול להיעשות ממקורות חיצוניים כמו סטים של מידע:

  1. עבור לקטגוריית “ייבוא”.
  2. בחר את סוג הייבוא (כגון JSON).
  3. העלא את הקובץ המתאים ולחץ על “ייבוא”.

הגדרת טקסונומיות ותגיות

טקסונומיות ותגיות עוזרות לארגן את המידע במערכת:

  1. עבור לקטגוריית “קונפיגורציה” ב-MISP.
  2. בחר “טקסונומיות”.
  3. כאן תוכל להוסיף טקסונומיות חדשות או לערוך קיימות.

שיתוף מידע עם קהילות אחרות

חשוב לשתף מידע עם קהילות אחרות כדי לשפר את הגנת הסייבר:

  1. בכתובת MISP, גש לקטגוריית “שיתוף קהילתי”.
  2. בחר את הקהילות שברצונך לשתף עימן מידע.
  3. הגדר את ההרשאות ותנאי השיתוף.

שילוב המידע בכלי אבטחה אחרים

MISP יכול לשלב מידע עם כלי אבטחה אחרים כמו SIEM ו-IDS:

  • הגדר חיבורפתוחה לקבלת מידע ממקורות אלה.
  • כתוב סקריפט הממפה את האירועים ב-MISP לתוך מערכת ה-SIEM שלך.

פתרון בעיות

אם נתקלים בבעיות, הנה כמה דרכי פתרון נפוצות:

  • אם MISP לא פועל, בדוק את יומן השגיאות של ה-Nginx ואת קובץ הלוג של MISP.
  • וודא שהכלים הנדרשים כמו MySQL פועלים כראוי.

סיכום

במדריך זה למדנו על התקנה והגדרה של MISP לשיתוף מודיעין איומי סייבר. כיסינו את דרישות המערכת, הקונפיגורציה הבסיסית, יצירה וייבוא של אירועים, והגדרת טקסונומיות ותגיות. הכרת התחום של מודיעין איומים חיונית להפעיל כלים נוספים כנגד איומים. מומלץ לחקור את המודולים המתקדמים של MISP ופוטנציאל השיתוף עם קהילות ואירוגנים אחרים בתחום.