Hızlı Başlangıç

• Oturum Açma
• Event
• Tag ve Taglist
• Free-Text Import Aracı
• Feed

Oturum Açma

MISP varsayılan kimlik bilgileri:

Username:	admin@admin[.]test
Password:	admin

olarak belirlenmiştir.

Kurulum aşamasında .env dosyası içinde yapılan konfigürasyonlar sırasında username ve password alanlarına yazacağınız bilgiler geçerli olacaktır. Boş bırakıldığı takdirde varsayılan username ve password kullanılır.

Parola Güncelleme

Komut satırı aracılığıyla parola güncelleme yapılabilir.

sudo -u www-data /var/www/MISP/app/Console/cake Password admin@admin.test Password1234

NOT: Verilen komut docker konteyner içinde çalıştırılmalıdır. Docker konteynerine geçmek için aşağıdaki adımlar uygulanır;

cd /opt/misp-docker

• Çalışan docker konteynerlerine erişelim.

docker ps 

• misp-core docker konteynerinin id değeri kopyalanır. Ve aşağıda verilen komut ile docker konteynerine giriş yapılır.

docker exec -it [konteyner_id] bash 

• Konteyner id değeri bilinmiyorsa aşağıdaki komut kullanılabilir.

docker compose exec -it misp-core bash 

Ayrıca MISP arayüzü aracılığıyla da parola güncellemesi yapılabilir.

• Administration -> List users sayfası içinde bulunan Actions menüsünde aşağıda gösterilen buton kullanılır.

• Manuel olarak aşağıda gösterildiği şekilde parola değişikliği yapılabilir.

Parola Politikası

[12]: Parola en az 12 karakter uzunluğunda olmalı.
[A-Z]: En az bir büyük harf içermeli.
[0-9]: Bir rakam veya özel bir karakter içermeli.
[a-z]: En az bir küçük harf karakteri içermeli.

Event

MISP'e Event eklemek, güvenlik profesyonellerinin tehditleri daha iyi anlamalarını, savunma stratejilerini geliştirmelerini ve genel olarak siber güvenliği artırmalarını sağlar.

• "Event Actions" menüsü içinde "Add Event" butonu kullanılarak yeni bir Event oluşturulabilir.

1. Distribution (Dağıtım): Oluşturulan bilgilerin kısıtlı bir grupla ya da herkese açık dağıtılabileceği seçeneklerini belirler.

2. Threat Level (Tehdit Seviyesi): Oluşturulan Event'in düşük,orta ve yüksek olmak üzere 3 ayrı önem derecesini belirtir.

3. Event Info (Olay Bilgisi): Oluşturulan Event hakkında genel bilgileri içerir. Bu, olayın adı, tanımı, zaman damgası, kaynakları vb. içerebilir.

4. GFI Sandbox(opsiyonel): MISP Event'i, kötü amaçlı yazılım analizi için GFI Sandbox gibi bir çözümle ilişkilendirilebilir. Bu, tehditlerin analiz edilmesine ve kötü amaçlı faaliyetlerin tespit edilmesine yardımcı olabilir.

5. Does it extend (Uzatma var mı)(opsiyonel): Bu, MISP Event'inin genişletilip genişletilmediğini belirtir. Yani, Event'e daha fazla ayrıntı veya bağlantılar eklenip eklenmediğini ifade eder.

•  "Submit"  butonu ilgili alanları doldurduktan sonra bir sonraki aşamaya geçmek için kullanılır.
• Event oluşturulduktan sonra, "View Event" içinde Event'e ait özellikler belirlenebilir.

Tag ve Taglist

"Event Actions" sekmesi içinde "List Attributes" klasöründe eklenilen eventlere ait özellikler bulunur.

Tag eklemek için 3 seçenek bulunmaktadır. Bunlar;

Tag Collections (Etiket Koleksiyonları):

• Etiket koleksiyonları, belirli bir konsepti veya kategoriyi temsil eden bir grup etiketten oluşur.

Custom Tags (Özel Etiketler):

• Özel etiketler, kullanıcıların kendi ihtiyaçlarına göre tanımladığı ve oluşturduğu etiketlerdir.

All Tags (Tüm Etiketler):

• Tüm etiketler, platformda kullanılabilir olan tüm etiketlerin bir listesini temsil eder.

LOCAL TAGS:

MISP'te "Local Tags" veya "Yerel Etiketler", kullanıcılar tarafından oluşturulan ve yalnızca belirli bir MISP örneği içinde geçerli olan etiketlerdir. Bunlar genellikle özel bir organizasyonun ihtiyaçlarına veya spesifik analiz gereksinimlerine uygun olarak tanımlanır ve kullanılır.

Local tag eklemek için 3 seçenek bulunmaktadır. Bunlar;

Local tag ekleme özellikler ile tag ekleme özellikleri aynı işlevi görmektedir. Fakat local tag yalnızca bir organizasyona özeldir.

Free-Text Import Aracı

Free-Text Import aracı, metin tabanlı verileri hızlı ve etkili bir şekilde MISP'e aktarmak için kullanılan bir araçtır. Bu araç, metin belgelerinde veya başka bir metin formatında bulunan tehdit bilgilerini MISP formatına dönüştürerek, tehdit istihbaratı paylaşımını ve analizini kolaylaştırır. Bu sayede kullanıcılar, tehdit verilerini elle girme gibi zaman alıcı işlemlerle uğraşmak zorunda kalmadan, hızlıca MISP platformuna aktarabilirler.

• Aşağıda gösterildiği gibi, oluşturulan Event içinde metin tabanlı verilerin MISP'e aktarılması sağlanır.
  

• Pop-up içerisinde,IOC'lerin (Indicators of Compromise) yapıştırılması istenmektedir. Bu, kullanıcının metin tabanlı tehdit bilgilerini veya IOC'leri belirli bir formatta girerek MISP'e aktarmasını sağlar.

Feed

MISP Feed'ler, düzenli aralıklarla MISP'e otomatik olarak aktarılabilen göstergeler içeren uzak veya yerel kaynaklardır. Bu CTI (Siber Tehdit İstihbaratı) feed'leri, verilerini MISP, CSV veya serbest metin formatlarında sunabilir aynı zamanda uzak veya yerel bir URL sorgulanarak içe aktarılabilir.

• Sync Actions -> Feeds menüsü içinde bulunan "add feed" alanı aşağıda gösterildiği gibidir;

1. Enabled: Bu özellik, feed'in etkinleştirilip etkinleştirilmeyeceğini belirtir. Etkinleştirildiğinde, feed düzenli olarak sorgulanır ve güncellenir.

2. Caching enabled: Bu seçenek, feed'den alınan verilerin önbelleğe alınıp alınmayacağını belirtir. Önbelleğe alma, aynı verilerin tekrar tekrar sorgulanmasını önleyerek performansı artırabilir.

3. Lookup visible: Bu seçenek, feed'den alınan verilerin aramalarda görünüp görünmeyeceğini belirtir. Aramalarda görünmesi, kullanıcıların feed'den alınan verilere kolayca erişmesine olanak tanır.

4. Disable correlation: Bu seçenek, feed'den alınan verilerin MISP içindeki diğer verilerle ilişkilendirilip ilişkilendirilmeyeceğini belirtir.

5. Name: Feed'in genel adını belirtir. Bu ifade, feed'i tanımlamak için genel ad olarak kullanılacaktır.

6. Provider: Bu alan, feed'in sağlayıcısının adını belirtir.

7. Input Source: Bu alan, feed'in kaynağını belirtir. Feed'in nereden alındığını gösterir.

8. URL: Feed'in URL'sini belirtir. Bu sayede, MISP düzenli olarak feed'i sorgular ve güncel verileri alması için kullanılır.

9. Source Format: Bu alan, feed'in hangi formatta olduğunu belirtir. MISP feed seçeneği, feed'in MISP formatında olduğunu belirtir.

10. Any headers to be passed with requests: Bu alan, isteklerle birlikte iletilmesi gereken herhangi bir başlık bilgisini belirtir. Örneğin, yetkilendirme bilgilerini içerebilir.

11. Distribution: Feed'den alınan verilerin hangi dağıtım seviyesine sahip olacağını belirtir. Distribution, hangi kullanıcılar veya organizasyonlarla paylaşılacağını belirler.

12. Default Tag: Varsayılan etiketi belirtir.

13. Filter rules: Bu alan, feed'den alınan verileri filtrelemek için kullanılır.

Feed eklemek ve Free-Text Import aracı arasındaki fark:

Free text import, genellikle metin tabanlı verilerin MISP'e manuel olarak eklenmesini veya yapıştırılmasını sağlar. Kullanıcıların çeşitli kaynaklardan aldıkları tehdit bilgilerini hızlıca MISP'e aktarmasına olanak tanır.

Öte yandan, feed eklemek, belirli bir format veya protokol kullanılarak otomatik olarak güncellenen ve sürekli olarak beslenen tehdit bilgisi kaynaklarıdır. Bu kaynaklar, genellikle IOC'ler, zararlı URL'ler, kötü amaçlı dosya hash'leri gibi tehdit belirteçlerini içerir. MISP, bu feed'leri kullanarak otomatik olarak güncellenen tehdit bilgilerini alabilir ve MISP ortamında kullanıcıların erişimine sunabilir.

Bu nedenle, free text import daha manuel ve kullanıcı tarafından yönetilen bir süreci ifade ederken, feed eklemek daha otomatik ve sistem tarafından yönetilen bir süreci ifade eder. Her ikisi de tehdit istihbaratı toplamak ve analiz etmek için farklı yöntemler sunar.