Giriş

MISP'e giriş, proje hakkında, proje gereksinimlerini ve hızlı başlangıç adımlarını içeren bir bölümdür. Bu bölüm, kullanıcıların MISP platformu hakkında temel bilgiler edinmesini sağlar.

Proje Hakkında

Proje Hakkında

Tarihçesi

Christophe Vandeplas Tehdit Göstergeleri (IOCs), e-posta veya pdf belgeleri ile paylaşılıyor ve otomatik makineler tarafından ayrıştırılamıyor olmasından fazlasıyla rahatsız olmuştur. Bu nedenle Haziran 2011 civarında, CakePHP ile denemeler yapmaya başladı ve fikrinin bir kanıtını ortaya koymuştur. Bu projeye CyDefSIG: Siber Savunma İmzaları adını verdi.

Temmuz 2011'in ortalarında, kişisel projesini Belçika Savunmasındaki iş yerinde sunmuştur ve geri bildirim oldukça olumlu olmuştur. Belçika Savunmasının CyDefSIG'i resmi olarak kullanmaya başlamasıyla birlikte 2011'in ortalarından itibaren CyDefSIG'e erişim verilmiştir. Bu noktada, Christophe, evde çalışmaya devam ederken iş saatlerinde CyDefSIG'e biraz zaman ayırmasına izin verilmiştir.

Bir noktada NATO bu projeden haberdar olmuştur. Ocak 2012'de projeyi daha detaylı olarak tanıtmak için ilk sunum yapılmıştır. NATO, pazarda sunulan diğer ürünlere göre CyDefSIG'in açıklığını bir avantaj olarak görmüştür. Böylece Andrzej Dereszowski, NATO tarafından ilk kısmi zamanlı geliştirici olmuştur.

Birkaç ay sonra NATO, kodu iyileştirmek ve daha fazla özellik eklemek için tam zamanlı bir geliştiriciyi işe almıştır. Geliştirme süreci o tarihten itibaren başlamıştır. Birçok kişisel projede olduğu gibi lisans henüz açıkça yazılmamıştı, proje kamuoyuna Affero GPL lisansı altında yayınlanacağına karar verilmiştir. Bu kaynak kod mümkün olan en çok insanla paylaşmak ve herhangi bir zarardan korumak içindi.

Ocak 2013'te Andras Iklody, MISP'in başlıca tam zamanlı geliştiricisi olmuştu. Günümüzde, Andras Iklody MISP projesinin baş geliştiricisi ve CIRCL'de çalışıyor.

MISP projesi genişledikçe, artık sadece kötü amaçlı yazılım göstergelerini değil, aynı zamanda sahtekarlık veya güvenlik açığı bilgilerini de kapsıyor. Adı artık MISP Threat Sharing olarak değişti. MISP şimdi bir topluluk projesi, bir grup gönüllü tarafından yönetilmektedir.

Proje Hakkında

MISP Nedir?

MISP, hedeflenen saldırılara, tehdit istihbaratına, mali dolandırıcılık bilgilerine ve güvenlik açığı bilgilerine ilişkin Tehdit Göstergelerini (IOC'ler) paylaşmak, depolamak ve ilişkilendirmek için bir tehdit istihbarat platformudur. Bu platform, sadece siber güvenlik göstergelerini ve kötü amaçlı yazılım analizini depolamak ve paylaşmakla kalmaz, aynı zamanda saldırıları, sahtekarlıkları veya tehditleri tespit etmek ve önlemek için IOC'leri ve bilgileri kullanır.

MISP, organizasyonların karşılaştığı tehditler ve güvenlik açıkları hakkında bir bilgi deposu olarak hizmet eder. Bilgi tutarlı bir yapıya kavuşturulduğunda, aranabilir hale gelir ve güvenlik analistlerinin bilgileri farklı zamanlarda ilişkilendirmesi daha kolay olur. Otomatik olarak benzer bilgileri ilişkilendirir ve bilgileri tutarlı bir formatta depolayarak, kuruluşlar arasında bilgi paylaşımını kolaylaştırır.

Ayrıca, MISP iş ortaklarından, analistlerden, araçlardan ve yayınlardan bilgi toplayan bir araçtır. Bu araç, verileri ilişkilendirir, zenginleştirir ve ekiplerin, toplulukların işbirliği yapmasını sağlar. Bu şekilde, otomatik koruyucu araçları ve analiz araçlarını besleyerek etkili bir şekilde tehditleri tespit etmeye ve önlemeye yardımcı olur.

Gereksinimler

Gereksinimler

MISP Gereksinimleri

MISP kullanım senaryosunu belirlerken, ilk adım kullanım amacını belirlemektir. Kullanıcı sayısı, alınan veri miktarı, kullanılan veri noktaları, olay sayısı, ilişkilendirme sayısı ve API kullanımı gibi faktörlerin hepsi göz önünde bulundurulmalıdır.

Donanım gereksinimleri oldukça düşüktür; genellikle 2+ çekirdekli ve 8-16 GB belleğe sahip bir web sunucusu yeterlidir, ancak daha fazlası her zaman tercih edilir. Gereksinimler veri kümesi ve kullanıcı sayısına bağlıdır.

Gereksinimleri Etkileyebilecek Bazı Önemli Hususlar:

Operasyonel Sunucular İçin Örnek Gereksinimler:

Veri tabanı:

Feed Önbelleği:

Hızlı Başlangıç

Hızlı Başlangıç

Oturum Açma

MISP varsayılan kimlik bilgileri:

Username: admin@admin[.]test
Password: admin

olarak belirlenmiştir.

Kurulum aşamasında .env dosyası içinde yapılan konfigürasyonlar sırasında username ve password alanlarına yazacağınız bilgiler geçerli olacaktır. Boş bırakıldığı takdirde varsayılan username ve password kullanılır.

Ekran Görüntüsü - 2024-04-07 12-44-22.png

Parola Güncelleme

Komut satırı aracılığıyla parola güncelleme yapılabilir.

sudo -u www-data /var/www/MISP/app/Console/cake Password admin@admin.test Password1234

NOT: Verilen komut docker konteyner içinde çalıştırılmalıdır. Docker konteynerine geçmek için aşağıdaki adımlar uygulanır;

cd /opt/misp-docker
docker ps 
docker exec -it [konteyner_id] bash 
docker compose exec -it misp-core bash 

Ayrıca MISP arayüzü aracılığıyla da parola güncellemesi yapılabilir.

image.png

Ekran Görüntüsü - 2024-04-07 13-06-59.png

Parola Politikası

[12]: Parola en az 12 karakter uzunluğunda olmalı.
[A-Z]: En az bir büyük harf içermeli.
[0-9]: Bir rakam veya özel bir karakter içermeli.
[a-z]: En az bir küçük harf karakteri içermeli.


Hızlı Başlangıç

Event

MISP'e Event eklemek, güvenlik profesyonellerinin tehditleri daha iyi anlamalarını, savunma stratejilerini geliştirmelerini ve genel olarak siber güvenliği artırmalarını sağlar.

Ekran Görüntüsü - 2024-04-07 14-47-51.png

  1. Distribution (Dağıtım): Oluşturulan bilgilerin kısıtlı bir grupla ya da herkese açık dağıtılabileceği seçeneklerini belirler.

  2. Threat Level (Tehdit Seviyesi): Oluşturulan Event'in düşük,orta ve yüksek olmak üzere 3 ayrı önem derecesini belirtir.

  3. Event Info (Olay Bilgisi): Oluşturulan Event hakkında genel bilgileri içerir. Bu, olayın adı, tanımı, zaman damgası, kaynakları vb. içerebilir.

  4. GFI Sandbox(opsiyonel): MISP Event'i, kötü amaçlı yazılım analizi için GFI Sandbox gibi bir çözümle ilişkilendirilebilir. Bu, tehditlerin analiz edilmesine ve kötü amaçlı faaliyetlerin tespit edilmesine yardımcı olabilir.

  5. Does it extend (Uzatma var mı)(opsiyonel): Bu, MISP Event'inin genişletilip genişletilmediğini belirtir. Yani, Event'e daha fazla ayrıntı veya bağlantılar eklenip eklenmediğini ifade eder.

Ekran Görüntüsü - 2024-04-07 22-14-09.png

Hızlı Başlangıç

Tag ve Taglist

"Event Actions" sekmesi içinde "List Attributes" klasöründe eklenilen eventlere ait özellikler bulunur.

Tag eklemek için 3 seçenek bulunmaktadır. Bunlar;

Ekran Görüntüsü - 2024-04-07 15-38-08.png

Tag Collections (Etiket Koleksiyonları):

Custom Tags (Özel Etiketler):

All Tags (Tüm Etiketler):

LOCAL TAGS:

MISP'te "Local Tags" veya "Yerel Etiketler", kullanıcılar tarafından oluşturulan ve yalnızca belirli bir MISP örneği içinde geçerli olan etiketlerdir. Bunlar genellikle özel bir organizasyonun ihtiyaçlarına veya spesifik analiz gereksinimlerine uygun olarak tanımlanır ve kullanılır.

Local tag eklemek için 3 seçenek bulunmaktadır. Bunlar;

Ekran Görüntüsü - 2024-04-07 15-47-31.png

Local tag ekleme özellikler ile tag ekleme özellikleri aynı işlevi görmektedir. Fakat local tag yalnızca bir organizasyona özeldir.

Hızlı Başlangıç

Free-Text Import Aracı

Free-Text Import aracı, metin tabanlı verileri hızlı ve etkili bir şekilde MISP'e aktarmak için kullanılan bir araçtır. Bu araç, metin belgelerinde veya başka bir metin formatında bulunan tehdit bilgilerini MISP formatına dönüştürerek, tehdit istihbaratı paylaşımını ve analizini kolaylaştırır. Bu sayede kullanıcılar, tehdit verilerini elle girme gibi zaman alıcı işlemlerle uğraşmak zorunda kalmadan, hızlıca MISP platformuna aktarabilirler.

Ekran Görüntüsü - 2024-04-07 22-19-34.png

Ekran Görüntüsü - 2024-04-07 22-25-23.png

Hızlı Başlangıç

Feed

MISP Feed'ler, düzenli aralıklarla MISP'e otomatik olarak aktarılabilen göstergeler içeren uzak veya yerel kaynaklardır. Bu CTI (Siber Tehdit İstihbaratı) feed'leri, verilerini MISP, CSV veya serbest metin formatlarında sunabilir aynı zamanda uzak veya yerel bir URL sorgulanarak içe aktarılabilir.

Ekran Görüntüsü - 2024-04-07 22-38-00.png

  1. Enabled: Bu özellik, feed'in etkinleştirilip etkinleştirilmeyeceğini belirtir. Etkinleştirildiğinde, feed düzenli olarak sorgulanır ve güncellenir.

  2. Caching enabled: Bu seçenek, feed'den alınan verilerin önbelleğe alınıp alınmayacağını belirtir. Önbelleğe alma, aynı verilerin tekrar tekrar sorgulanmasını önleyerek performansı artırabilir.

  3. Lookup visible: Bu seçenek, feed'den alınan verilerin aramalarda görünüp görünmeyeceğini belirtir. Aramalarda görünmesi, kullanıcıların feed'den alınan verilere kolayca erişmesine olanak tanır.

  4. Disable correlation: Bu seçenek, feed'den alınan verilerin MISP içindeki diğer verilerle ilişkilendirilip ilişkilendirilmeyeceğini belirtir.

  5. Name: Feed'in genel adını belirtir. Bu ifade, feed'i tanımlamak için genel ad olarak kullanılacaktır.

  6. Provider: Bu alan, feed'in sağlayıcısının adını belirtir.

  7. Input Source: Bu alan, feed'in kaynağını belirtir. Feed'in nereden alındığını gösterir.

  8. URL: Feed'in URL'sini belirtir. Bu sayede, MISP düzenli olarak feed'i sorgular ve güncel verileri alması için kullanılır.

  9. Source Format: Bu alan, feed'in hangi formatta olduğunu belirtir. MISP feed seçeneği, feed'in MISP formatında olduğunu belirtir.

  10. Any headers to be passed with requests: Bu alan, isteklerle birlikte iletilmesi gereken herhangi bir başlık bilgisini belirtir. Örneğin, yetkilendirme bilgilerini içerebilir.

  11. Distribution: Feed'den alınan verilerin hangi dağıtım seviyesine sahip olacağını belirtir. Distribution, hangi kullanıcılar veya organizasyonlarla paylaşılacağını belirler.

  12. Default Tag: Varsayılan etiketi belirtir.

  13. Filter rules: Bu alan, feed'den alınan verileri filtrelemek için kullanılır.

Feed eklemek ve Free-Text Import aracı arasındaki fark:

Free text import, genellikle metin tabanlı verilerin MISP'e manuel olarak eklenmesini veya yapıştırılmasını sağlar. Kullanıcıların çeşitli kaynaklardan aldıkları tehdit bilgilerini hızlıca MISP'e aktarmasına olanak tanır.

Öte yandan, feed eklemek, belirli bir format veya protokol kullanılarak otomatik olarak güncellenen ve sürekli olarak beslenen tehdit bilgisi kaynaklarıdır. Bu kaynaklar, genellikle IOC'ler, zararlı URL'ler, kötü amaçlı dosya hash'leri gibi tehdit belirteçlerini içerir. MISP, bu feed'leri kullanarak otomatik olarak güncellenen tehdit bilgilerini alabilir ve MISP ortamında kullanıcıların erişimine sunabilir.

Bu nedenle, free text import daha manuel ve kullanıcı tarafından yönetilen bir süreci ifade ederken, feed eklemek daha otomatik ve sistem tarafından yönetilen bir süreci ifade eder. Her ikisi de tehdit istihbaratı toplamak ve analiz etmek için farklı yöntemler sunar.