Hızlı Başlangıç

Oturum Açma

MISP varsayılan kimlik bilgileri:

Username: admin@admin[.]test
Password: admin

olarak belirlenmiştir.

Kurulum aşamasında .env dosyası içinde yapılan konfigürasyonlar sırasında username ve password alanlarına yazacağınız bilgiler geçerli olacaktır. Boş bırakıldığı takdirde varsayılan username ve password kullanılır.

Ekran Görüntüsü - 2024-04-07 12-44-22.png

Parola Güncelleme

Komut satırı aracılığıyla parola güncelleme yapılabilir.

sudo -u www-data /var/www/MISP/app/Console/cake Password admin@admin.test Password1234

NOT: Verilen komut docker konteyner içinde çalıştırılmalıdır. Docker konteynerine geçmek için aşağıdaki adımlar uygulanır;

cd /opt/misp-docker
docker ps 
docker exec -it [konteyner_id] bash 
docker compose exec -it misp-core bash 

Ayrıca MISP arayüzü aracılığıyla da parola güncellemesi yapılabilir.

image.png

Ekran Görüntüsü - 2024-04-07 13-06-59.png

Parola Politikası

[12]: Parola en az 12 karakter uzunluğunda olmalı.
[A-Z]: En az bir büyük harf içermeli.
[0-9]: Bir rakam veya özel bir karakter içermeli.
[a-z]: En az bir küçük harf karakteri içermeli.


Event

MISP'e Event eklemek, güvenlik profesyonellerinin tehditleri daha iyi anlamalarını, savunma stratejilerini geliştirmelerini ve genel olarak siber güvenliği artırmalarını sağlar.

Ekran Görüntüsü - 2024-04-07 14-47-51.png

  1. Distribution (Dağıtım): Oluşturulan bilgilerin kısıtlı bir grupla ya da herkese açık dağıtılabileceği seçeneklerini belirler.

  2. Threat Level (Tehdit Seviyesi): Oluşturulan Event'in düşük,orta ve yüksek olmak üzere 3 ayrı önem derecesini belirtir.

  3. Event Info (Olay Bilgisi): Oluşturulan Event hakkında genel bilgileri içerir. Bu, olayın adı, tanımı, zaman damgası, kaynakları vb. içerebilir.

  4. GFI Sandbox(opsiyonel): MISP Event'i, kötü amaçlı yazılım analizi için GFI Sandbox gibi bir çözümle ilişkilendirilebilir. Bu, tehditlerin analiz edilmesine ve kötü amaçlı faaliyetlerin tespit edilmesine yardımcı olabilir.

  5. Does it extend (Uzatma var mı)(opsiyonel): Bu, MISP Event'inin genişletilip genişletilmediğini belirtir. Yani, Event'e daha fazla ayrıntı veya bağlantılar eklenip eklenmediğini ifade eder.

Ekran Görüntüsü - 2024-04-07 22-14-09.png

Tag ve Taglist

"Event Actions" sekmesi içinde "List Attributes" klasöründe eklenilen eventlere ait özellikler bulunur.

Tag eklemek için 3 seçenek bulunmaktadır. Bunlar;

Ekran Görüntüsü - 2024-04-07 15-38-08.png

Tag Collections (Etiket Koleksiyonları):

Custom Tags (Özel Etiketler):

All Tags (Tüm Etiketler):

LOCAL TAGS:

MISP'te "Local Tags" veya "Yerel Etiketler", kullanıcılar tarafından oluşturulan ve yalnızca belirli bir MISP örneği içinde geçerli olan etiketlerdir. Bunlar genellikle özel bir organizasyonun ihtiyaçlarına veya spesifik analiz gereksinimlerine uygun olarak tanımlanır ve kullanılır.

Local tag eklemek için 3 seçenek bulunmaktadır. Bunlar;

Ekran Görüntüsü - 2024-04-07 15-47-31.png

Local tag ekleme özellikler ile tag ekleme özellikleri aynı işlevi görmektedir. Fakat local tag yalnızca bir organizasyona özeldir.

Free-Text Import Aracı

Free-Text Import aracı, metin tabanlı verileri hızlı ve etkili bir şekilde MISP'e aktarmak için kullanılan bir araçtır. Bu araç, metin belgelerinde veya başka bir metin formatında bulunan tehdit bilgilerini MISP formatına dönüştürerek, tehdit istihbaratı paylaşımını ve analizini kolaylaştırır. Bu sayede kullanıcılar, tehdit verilerini elle girme gibi zaman alıcı işlemlerle uğraşmak zorunda kalmadan, hızlıca MISP platformuna aktarabilirler.

Ekran Görüntüsü - 2024-04-07 22-19-34.png

Ekran Görüntüsü - 2024-04-07 22-25-23.png

Feed

MISP Feed'ler, düzenli aralıklarla MISP'e otomatik olarak aktarılabilen göstergeler içeren uzak veya yerel kaynaklardır. Bu CTI (Siber Tehdit İstihbaratı) feed'leri, verilerini MISP, CSV veya serbest metin formatlarında sunabilir aynı zamanda uzak veya yerel bir URL sorgulanarak içe aktarılabilir.

Ekran Görüntüsü - 2024-04-07 22-38-00.png

  1. Enabled: Bu özellik, feed'in etkinleştirilip etkinleştirilmeyeceğini belirtir. Etkinleştirildiğinde, feed düzenli olarak sorgulanır ve güncellenir.

  2. Caching enabled: Bu seçenek, feed'den alınan verilerin önbelleğe alınıp alınmayacağını belirtir. Önbelleğe alma, aynı verilerin tekrar tekrar sorgulanmasını önleyerek performansı artırabilir.

  3. Lookup visible: Bu seçenek, feed'den alınan verilerin aramalarda görünüp görünmeyeceğini belirtir. Aramalarda görünmesi, kullanıcıların feed'den alınan verilere kolayca erişmesine olanak tanır.

  4. Disable correlation: Bu seçenek, feed'den alınan verilerin MISP içindeki diğer verilerle ilişkilendirilip ilişkilendirilmeyeceğini belirtir.

  5. Name: Feed'in genel adını belirtir. Bu ifade, feed'i tanımlamak için genel ad olarak kullanılacaktır.

  6. Provider: Bu alan, feed'in sağlayıcısının adını belirtir.

  7. Input Source: Bu alan, feed'in kaynağını belirtir. Feed'in nereden alındığını gösterir.

  8. URL: Feed'in URL'sini belirtir. Bu sayede, MISP düzenli olarak feed'i sorgular ve güncel verileri alması için kullanılır.

  9. Source Format: Bu alan, feed'in hangi formatta olduğunu belirtir. MISP feed seçeneği, feed'in MISP formatında olduğunu belirtir.

  10. Any headers to be passed with requests: Bu alan, isteklerle birlikte iletilmesi gereken herhangi bir başlık bilgisini belirtir. Örneğin, yetkilendirme bilgilerini içerebilir.

  11. Distribution: Feed'den alınan verilerin hangi dağıtım seviyesine sahip olacağını belirtir. Distribution, hangi kullanıcılar veya organizasyonlarla paylaşılacağını belirler.

  12. Default Tag: Varsayılan etiketi belirtir.

  13. Filter rules: Bu alan, feed'den alınan verileri filtrelemek için kullanılır.

Feed eklemek ve Free-Text Import aracı arasındaki fark:

Free text import, genellikle metin tabanlı verilerin MISP'e manuel olarak eklenmesini veya yapıştırılmasını sağlar. Kullanıcıların çeşitli kaynaklardan aldıkları tehdit bilgilerini hızlıca MISP'e aktarmasına olanak tanır.

Öte yandan, feed eklemek, belirli bir format veya protokol kullanılarak otomatik olarak güncellenen ve sürekli olarak beslenen tehdit bilgisi kaynaklarıdır. Bu kaynaklar, genellikle IOC'ler, zararlı URL'ler, kötü amaçlı dosya hash'leri gibi tehdit belirteçlerini içerir. MISP, bu feed'leri kullanarak otomatik olarak güncellenen tehdit bilgilerini alabilir ve MISP ortamında kullanıcıların erişimine sunabilir.

Bu nedenle, free text import daha manuel ve kullanıcı tarafından yönetilen bir süreci ifade ederken, feed eklemek daha otomatik ve sistem tarafından yönetilen bir süreci ifade eder. Her ikisi de tehdit istihbaratı toplamak ve analiz etmek için farklı yöntemler sunar.