Kullanım Kılavuzu

MISP kullanım kılavuzu bölümü, MISP platformunun temel özelliklerini ve işlevlerini inceler. Temel kavramlar ve kullanım senaryoları bu bölümde ele alınır.

Temel Kavramlar

Temel Kavramlar

HOME

Ekran Görüntüsü - 2024-04-08 12-57-44.png

Üst bar, Home, Event Actions, Dashboard, Galaxies, Input Filters, Global Actions, Sync Actions, Administration, Logs, API alanlarından oluşmaktadır.

HOME

Bu buton, kullanıcıyı uygulamanın başlangıç ekranına geri götürür. Başlangıç ekranı, Event dizini sayfası veya kullanıcının özel ana sayfa olarak belirlediği sayfa olabilir, bu da kullanıcının üst çubuktaki yıldızı kullanarak belirlenir.

Temel Kavramlar

EVENT ACTIONS

MISP'e girilen tüm kötü amaçlı yazılım verileri, bir Event tarafından açıklanan bağlantılı özelliklerle tanımlanır. Event Actions menüsü, Event'leri ve bu Event'lere bağlı özelliklerin oluşturulması, düzenlenmesi, silinmesi, yayınlanması, aranması ve listelenmesi gibi işlevlere erişim sağlar. Bağlantılı özellikler, kötü amaçlı yazılımlar hakkında ek bilgiler içerir ve bu bilgiler Event'lerle ilişkilendirilir. Bu sayede, kullanıcılar kötü amaçlı yazılımlar hakkında daha detaylı bilgilere erişebilirler ve bu bilgileri etkili bir şekilde yönetebilirler.

Event Action menüsü farklı kategoriler içerir ve her biri farklı işlevleri temsil eder:

image.png

Actions bölümü altında sırasıyla Event'i yayınlama, düzenleme, silme ve görüntüleme butonları yer almaktadır.

Ekran Görüntüsü - 2024-04-08 13-31-24.png

Ekran Görüntüsü - 2024-04-08 13-33-47.png

Date: Event'in meydana geldiği tarih.

Distribution: Event yayımlandığında ve geri çekildiğinde kimlerin görebileceğini kontrol eder. Ayrıca, Event'in diğer sunucularla senkronize edilip edilmeyeceğini de belirler.

Your organization only: Sadece kendi kuruluşunuzun üyelerinin Event'i görmesine izin verir. Senkronizasyon yapılmaz.

This Community-only: MISP topluluğunuzun bir parçası olan kullanıcılar Event'i görebilir. Bağlı sunucular kısıtlanır.

Connected communities: MISP topluluğunun bir parçası olan kullanıcılar Event'i görebilir. Bağlı sunucuların üyeleri kısıtlanır.

All communities: Event'i tüm MISP topluluklarıyla paylaşır.

Sharing group: Belirlenen paylaşım grubuna Event'i paylaşır, yalnızca paylaşım grubunda tanımlanan kuruluşları içerir.

Threat Level: Bu alan, Event'in risk seviyesini gösterir. Event'ler üç farklı tehdit kategorisine (düşük, orta, yüksek) kategorize edilebilir.

Düşük: Genel kitlesel kötü amaçlı yazılım.

Orta: Gelişmiş Kalıcı Tehditler (APT)

Yüksek: Sofistike APT'ler ve 0-gün saldırıları.

Analysis: Event için mevcut analiz aşamasını gösterir.

Başlangıç: Analiz henüz başlıyor.

Devam eden: Analiz devam ediyor.

Tamamlandı: Analiz tamamlandı.

Event Info: Event'in kısa bir tanımının bulunduğu bilgi alanıdır. 

Extends Event: Bir Event'in başka bir Event'e atıfta bulunmasını sağlar. Bir Event'in diğer bir Event'le olan ilişkisini belirtir.

Ekran Görüntüsü - 2024-04-08 14-27-21.png

MISP taxonomileri, tehditlerin ve diğer güvenlik olaylarının kategorize edilmesine ve sınıflandırılmasına olanak tanır. Ayrıca, MISP kullanıcılarının tehditlerle ilgili verileri daha tutarlı bir şekilde kaydetmelerine ve paylaşmalarına yardımcı olur.

Temel Kavramlar

DASHBOARD

Widget'ları kullanarak özel bir kontrol paneli oluşturulmasına olanak sağlar. Kullanıcılara MISP platformundaki güvenlik olaylarını ve tehditleri görsel olarak takip etme ve analiz etme imkanı sunar. Genellikle çeşitli grafikler, tablolar ve özet bilgiler bulunur. Kullanıcılar, Dashboard'da sunulan veriler aracılığıyla güncel tehdit durumunu anlayabilir, Event'lerin dağılımını görebilir ve analiz yapabilirler. Ayrıca, Dashboard'da genellikle belirli Event'ler veya tehditler hakkında daha detaylı bilgiye erişmek için bağlantılar veya araçlar bulunabilir.

Ekran Görüntüsü - 2024-04-08 14-56-46.png

Temel Kavramlar

GALAXIES

MISP'teki Galaxy, MISP Event'lerine veya özelliklerine (attribute) eklenen bir obje olan kümelere (cluster) bağlı büyük bir nesneyi ifade etmek için kullanılan bir yöntemdir. Bir küme, bir veya daha fazla ögeden oluşabilir. Ögeler, key-value çiftleri olarak ifade edilir. Bir "Galaxy" genellikle birbirleriyle ilişkili tehdit verilerini gruplamak için kullanılan bir yapı veya kategoridir. Örneğin, bir tehdit aktörünün kullandığı zararlı yazılımlar, saldırı teknikleri, hedef sektörler veya saldırı vektörleri gibi konseptleri gruplamak için kullanılabilir.

MISP galaxy varsayılan sözcük dağarcıkları bulunmaktadır, ancak bunlar istenildiği gibi üzerine yazılabilir, değiştirilebilir veya güncellenebilir. Sözcük dağarcıkları, mevcut standartlardan (STIX, Veris, ATT&CK, MISP vb.) veya yalnızca kuruluşlar için kullanılan özel standartlardan gelir.

Mevcut kümeler ve sözcük dağarcıkları doğrudan veya bir şablon olarak kullanılabilir. Amaç, analize başlayan organizasyonlar için ortak bir küme setine sahip olmaktır, ancak bu set yerel bilgilere (paylaşılmayan) veya ek bilgilere (paylaşılabilir) genişletilebilir.

Galaxies menüsü içinde List Galaxies ve List Relationship kategorileri bulunmaktadır.

image.png

Ekran Görüntüsü - 2024-04-08 15-46-29.png

Galaxy Repository Ekleme: 

cd /var/www/MISP/app/files/
sudo rm -rf misp-galaxy

sudo -u www-data git clone https://github.com/SteveClement/misp-galaxy.git
Temel Kavramlar

INPUT FILTERS

Input Filters, MISP platformunda kullanıcıların veri girişlerini kontrol etmelerini sağlayan bir özelliktir.

Bu filtreler, kullanıcıların veri girişini doğrulamak, belirli veri türlerini kabul etmek veya reddetmek, düzenli ifadeleri kullanarak veri biçimlerini kontrol etmek ve kötü amaçlı veya istenmeyen verileri engellemek gibi işlevlere sahiptir. Kullanıcılar, MISP giriş filtreleri aracılığıyla veri kalitesini artırabilir ve güvenliklerini sağlamlaştırabilir.

Ayrıca, belirli değerlerin dışa aktarılmasını engellemenin yanı sıra, belirli değerlerin engellenmesi de mümkündür. Kullanıcılar bu değiştirme ve engelleme kurallarını görüntüleyebilir, ancak bir yönetici bunları değiştirebilir. Bu sayede veri girişi ve işleme süreçleri daha güvenli ve kontrol edilebilir hale gelir.

Ekran Görüntüsü - 2024-04-08 21-39-57.png

Bu alanda belirtilen düzenli ifadeler, içeri aktarılan verilerin belirli bir formata veya desene uyması gerektiğini belirtir. Örneğin, e-mail adresleri, URL'ler veya dosya adları gibi belirli veri türlerinin doğruluğunu kontrol etmek için kullanılabilirler. Bu şekilde, yanlış veya zararlı verilerin sisteme girmesi engellenir ve veri bütünlüğü sağlanır.

Ekran Görüntüsü - 2024-04-08 21-47-33.png

Bu alanda belirtilen imzalar veya desenler, verilerin içeri aktarılmasını engelleyen diğer filtrelerin aksine, içeri aktarılan verilerin içinde belirli imzaların bulunmasını gerektirir.

Örneğin, bir organizasyonun belirli bir veri türünü veya formatını kabul etmesi gerekiyorsa, bu alanda bu tür imzalar veya desenler tanımlanabilir. Bu şekilde, kabul edilmeyen veya istenmeyen verilerin içeri aktarılması önlenir ve sistemin belirli bir standarda veya gereksinime uygun olarak çalışması sağlanır.

Ekran Görüntüsü - 2024-04-08 21-49-38.png

Ekran Görüntüsü - 2024-04-08 21-55-55.png

False-Positiveler, tehdit istihbaratı paylaşımında sıkça karşılaşılan bir problem olarak öne çıkar.

Genellikle durumlara ya da koşullara göre değişkenlik gösterebilir;

Varsayılan olarak, MISP, warninglist olarak adlandırılan belirli veri listelerindeki özelliklerin (attribute) sadece bir tür bayrağı belirli olduğunda eşleşmeleri tetikler. Ancak bu davranış, MISP'in yapılandırma ayarlarından biri olan "MISP.warning_for_all" parametresi "true" olarak ayarlandığında değiştirilebilir.

Özellikler, genellikle bir olayın veya tehdidin belirli bir yönünü tanımlamak için kullanılan veri parçalarıdır. Özellikler arasında IP adresleri, alan adları, dosya adları gibi bilgiler bulunabilir. MISP, bu özelliklerin, MISP'e özgü bir kimlik tespit sistemi (IDS) tarafından işaretlendiğinde, yani bir tehdit olarak algılandığında, warninglist'lerdeki verilerle eşleşip eşleşmediğini kontrol eder.

Bir özellik, warninglist adı verilen önceden tanımlanmış bir veri listesinde bir eşleşme bulursa, bu durum kullanıcıya bildirilir. Kullanıcı, bu bilgiyi olay ve özellik düzeyinde bir bilgi veya uyarı kutusu aracılığıyla görebilir. Kullanıcının potansiyel olarak tehlikeli olduğu düşünülen verilere dikkat etmesini ve gerekli önlemleri almasını sağlar.

Kullanıcının eylemlerinin olası sonuçları konusunda daha bilinçli olmasını sağlamak ve uyarı bildirimlerini tetiklemek için kullanılan basit bir JSON açıklamasıdır.

Ekran Görüntüsü - 2024-04-08 23-34-31.png

"Correlation Exclusions" ayarları, özellikle veri analizi ve tehdit istihbaratı paylaşımında kullanışlıdır. Örneğin, belirli bir olay veya tehdit örneğinin birbirleriyle ilişkilendirilmemesi gereken özellikleri veya nesneleri belirtmek için kullanılabilir. Böylece, "False-Positive"lerin ve yanlış sonuçların önlenmesine yardımcı olur ve analizin doğruluğunu artırır.

 


Temel Kavramlar

GLOBAL ACTIONS

Global Actions menüsü, MISP platformunda genel işlevlere erişimi sağlamaktır. Genellikle yönetici düzeyinde kullanıcılar için mevcuttur ve MISP sisteminin genel yapılandırma ve yönetimi ile ilgili işlemleri gerçekleştirmelerine olanak tanır.

Örneğin, bu menü aracılığıyla yeni kullanıcılar eklemek, API anahtarlarını yönetmek, güvenlik ayarlarını yapılandırmak, sistem güncellemelerini denetlemek veya genel MISP yapılandırmasını yönetmek gibi işlemler gerçekleştirilebilir. MISP platformunun yönetimi ve yapılandırılması için kritik bir araçtır.

Ekran Görüntüsü - 2024-04-08 23-56-10.png

ChatGPT
Temel Kavramlar

SYNC ACTIONS

Tehdit bilgilerinin diğer güvenlik sistemleri veya hizmetlerle otomatik olarak paylaşılmasını ve senkronize edilmesini sağlar. Bu sayede, bir tehdit bilgisinin MISP'te paylaşılmasıyla birlikte, ilgili güvenlik araçları ve sistemler de bu bilgiye otomatik olarak erişebilir ve buna göre aksiyon alabilir.

Örneğin, bir güvenlik tehdidi MISP üzerinde tespit edildiğinde, MISP Sync Actions aracılığıyla bu bilgi bir SIEM (Security Information and Event Management) sistemi ile senkronize edilerek, SIEM sistemi o tehdide karşı otomatik olarak koruma politikalarını güncelleyebilir veya alarm üretebilir.

Ekran Görüntüsü - 2024-04-09 00-19-08.png

List Feeds kategorisi altında, feed oluşturmak için kullanılan "Load default feed metadata", "Caching Feeds" ve "Fetching feeds"  butonları yer almaktadır.

Ekran Görüntüsü - 2024-04-09 00-45-24.png

Default Feeds: Kullanıcılara bir dizi açık kaynaklı feed sağlar. Bu feedler, güncel tehdit bilgilerini içeren ve MISP platformuna otomatik olarak yüklenebilen kaynaklardır.

Feed tanımlarını, Feeds sayfasındaki "Load default feed metadata" butonu kullanılarak kolayca yüklenebilir. Bu özellik, "app/files/feed-metadata/defaults.json" dosyasındaki girişleri veritabanına içe aktararak yeni feedler oluşturur.

"Feed"lerin mevcut "feed"lerle çakışmasını önlemek için, feed URL'sini kullanarak yinelenenleri kontrol eder. Eğer aynı URL'ye sahip bir feed zaten veritabanında varsa, bu giriş içe aktarılmaz. Böylece, kullanıcıların yerel değişiklikleri (ad, dağıtım veya etkin durum gibi) korunur ve üzerine yazılması önlenir. 

Bu sayede, güncel feed tanımları MISP örneğine hızlıca entegre edilebilir ve mevcut "feed"ler korunabilir.

Caching Feeds: Kullanıcıların belirli veri "feed"lerinden gelen bilgileri önbelleğe almasını sağlar. Bu sayede, kullanıcılar sık sık eriştiği veya talep ettiği verilere daha hızlı bir şekilde erişilebilir hale gelir.

Bir feed içeriğini önbelleğe almak, bu verileri sunucuda depolamak ve bir sonraki erişimde daha hızlı erişilebilir hale getirmek anlamına gelir. Veri alışverişi süreçlerini hızlandırır ve kullanıcı deneyimini iyileştirir.

Fetching Feeds: Veri kaynaklarından (feedlerden) güncel bilgilerin alınması işlemidir. Bu işlem, kullanıcıların güncel tehdit bilgilerini veya diğer güvenlik verilerini MISP örneğine aktarmasını sağlar.

"Fetching feeds" işlemi genellikle düzenli aralıklarla otomatik olarak gerçekleştirilir.

Belirli aralıklarla otomatik güncelleme yapmak için, MISP platformunda genellikle bir zamanlama ayarı bulunur. Bu ayar, ne sıklıkla "feed"lerin güncelleneceğini belirlemek için kullanılır. Ayarlar, genellikle MISP'in yönetim arayüzünde veya yapılandırma dosyalarında yapılır.

MISP'in yapılandırma dosyalarında (örneğin config.php) "Feeds_auto_update" veya benzeri bir parametre bulunabilir. Bu parametre, "feed"lerin ne sıklıkla güncelleneceğini belirler ve genellikle saniye cinsinden bir değerdir.

Kullanıcılar ayrıca, ihtiyaç duydukları zaman manuel olarak da feedleri alabilirler. 

FEED EKLEME: 

Yeni bir feed eklemek için yan menüdeki "Add Feed" seçeneği seçilir.

Ekran Görüntüsü - 2024-04-09 01-32-58.png

Enabled: Feed aktif mi, değil mi? Eğer bu alan aktifse, o feedin düzenli olarak güncellendiği ve içeriğinin kullanıcılara ulaştırıldığı anlamına gelir. Eğer bu alan aktif değilse, feedin güncellenmediği veya geçici bir süre için devre dışı bırakıldığı anlamına gelir.

Caching enabled: Feed verilerinin önbelleğe alınıp alınmayacağını belirtir.

Lookup visible: İşaretlenmediğinde, korelasyonlar sadece sizin için görünür; işaretlendiğinde ise, korelasyonlar diğer kullanıcılar tarafından da görünür.

Disable correlation: İşaretlendiğinde, Feed'den gelen tüm olaylar için korelasyonlar devre dışı bırakılır.

Name: Feed'i tanımlamak için ad; benzersiz olması gerekmez.

Provider: İçerik sağlayıcısının adıdır.

Input Source: Giriş kaynağı belirlenir. İki seçenek vardır:

image.png

URL: "Feed"in internet üzerindeki adresini veya yerel dosyanın yolunu belirtir.

Source Format: 3 farklı kaynak formatı vardır. Kaynak formatına göre feed ekleme alanları değişiklik gösterebilir. 

image.png

MISP Feed: Kaynak, MISP "Event"leri gibi JSON biçimli dosyaların bir listesine işaret eder.

Örneğin: https://www.circl.lu/doc/misp/feed-osint

Freetext Parsed Feed: Metin tabanlı içeriklerin yapılandırılmış bir formatta eklenmesini sağlar.

NOT: Freetext Parsed Feed seçeneği seçildiği takdirde yeni alanlar açılacaktır.

Ekran Görüntüsü - 2024-04-09 02-00-26.png

Creator organisation: "Feed"den oluşturulan Event için oluşturucu organizasyonu(orgc_id) temsil eder. List Feeds ekranındaki Org sütununda görünür.

Target Event: "Feed"den verileri tutacak Event türüdür.

image.png

Target Event ID: Verinin ekleneceği "Event"in kimliğidir. Eğer belirtilmemişse, alan ilk kez feed alındığında ayarlanır.

Exclusion Regex: Atlanması gereken IoC'leri tespit etmek için bir regex deseni eklenebilir. Örneğin, gerçek raporun / "feed"in herhangi bir referansını hariç tutmak için kullanışlı olabilir. 

Auto Publish: İşaretlendiğinde, "feed"den oluşturulan "Event" otomatik olarak yayımlanır.

Override IDS Flag: İşaretlendiğinde, IDS bayrağı false olarak ayarlanır. 

Delta Merge: İşaretlendiğinde, yalnızca en son alınan "feed"den özellikler saklanır, eski olanlar (geçici olarak) silinir.

Simple CSV Parsed Feed: CSV formatındaki verilerin MISP platformuna aktarılması için kullanılan bir feed türüdür.  Bu seçenekte, "Freetext parsed Feed" seçeneğinde eklenen alanlara kıyasla 2 farklı alan daha eklenmektedir.

Ekran Görüntüsü - 2024-04-09 02-20-57.png 

Values field(s) in the CSV: Hangi alanların MISP özelliklerine dönüştürüleceğini belirler. Sütun pozisyonları virgülle ayrılarak belirtilebilir.

Delimeter: Alan ayırıcısı belirlenir; varsayılan alan ayırıcısı virgüldür ",".

Dağıtım: Feed'den oluşturulan "Event"e ayarlanacak dağıtım seçeneği belirlenir. 5 farklı seçenek sunulmaktadır.

image.png

Default Tag: Oluşturulan "Event"lere bir varsayılan etiket eklenebilir.

Filter Rules: Hangi "Event"lerin ya da kuruluşların izin verildiği veya engellendiği tanımlanabilir.

Temel Kavramlar

ADMINISTRATIONS

Yöneticiler kullanıcı hesaplarını ve kullanıcı rollerini ekleyebilir, düzenleyebilir veya kaldırabilir. Roller, olayların yayınlanması, REST arayüzünün kullanımı veya verilen role ait herhangi bir kullanıcının senkronizasyonu gibi belirli özelliklere erişim haklarını tanımlar.

Site yöneticileri kullanıcıların şifrelerini sıfırlamanın veya şifreli e-mail yoluyla onlarla iletişime geçmenin mümkün olduğu bir iletişim formuna da erişebilir.

Ekran Görüntüsü - 2024-04-09 11-49-24.png

Yeni bir kullanıcı eklemek için soldaki yönetim menüsündeki  "Add User" butonu ile yeni bir kullanıcı eklenebilir.

Ekran Görüntüsü - 2024-04-09 12-12-47.png

E-Mail: Kullanıcı e-mail adresi, kullanıcı adı olarak giriş yapmak ve otomatik e-mailleri göndermek için bir adres olarak kullanılacaktır.

Set Password: Kullanıcı için geçici bir kullanıcı şifresi tanımlamak isteniyorsa kutu işaretlenir. Eğer istenmiyorsa, bir şifre oluşturmak ve bunu kullanıcıya e-mail ile göndermek için 'List Users' görünümündeki 'reset password' butonu kullanılmalıdır.

Password: 'Set Password' işaretlendiğinde yalnızca bu metin kutusu görüntülenir. Kullanıcı için ilk girişten sonra değiştirmesi gereken geçici bir şifre tanımlanmalıdır. Parola MISP Parola politikasına uygun olmalıdır.

Ekran Görüntüsü - 2024-04-09 12-21-44.png

Organisation: Kullanıcı için organizasyon seçilmesini sağlayan açılır bir listedir.Organizasyon hakkında detaylı bilgi aşağıda verilmiştir.

Role: Kullanıcının ait olması gereken bir rol grubunun seçilmesini sağlayan açılır bir listedir. Roller, kullanıcıya atanan kullanıcı ayrıcalıklarını tanımlar. Roller hakkında detaylı bilgi aşağıda verilmiştir.

Authkey: Belirtilen kullanıcının benzersiz yetkilendirme anahtarıdır ve otomatik olarak atanır. (kullanıcı bunu sıfırlayabilir ve yeni bir anahtar alabilir). Bir sunucuyu başka bir sunucuya bağlamak için kullanılır, ancak kullanıcının yetkilendirme izni etkinleştirilmiş bir rolle atandığından emin olunması gerekir.

NIDS SID: Ağ sızma algılama sisteminde kullanılan bir imza kimliğidir. Kullanıcı tarafından oluşturulan Snort kuralları, kullanıcının tanımladığı ofsetle başlayan artan bir SID ile dışa aktarılır. Ofset belirtilmemişse, varsayılan olarak bir SID atanır, ancak bu bir rastgele değer olabilir.

Sync user for: Eğer bu seçenek ayarlanırsa, yerel kullanıcı bir uzak sunucudan çekim yaparken seçilen sunucunun itme kuralları da uygulanır. Bu seçenek, yönetici, Kuruluş Yöneticisi ve Senkronizasyon kullanıcı rolü için kullanılabilir.

Çekim (Pull): Bir cihazın veya sistemdeki bir kaynağın, diğer bir kaynaktan veri almak için aktif olarak talepte bulunması anlamına gelir. Yani, veri kaynağı, belirli bir zaman aralığında veya belirli bir olay gerçekleştiğinde veriyi çeken cihaz veya sistemdir. Örneğin, bir kullanıcının e-posta istemcisi, sunucudaki yeni e-postaları çekmek için düzenli aralıklarla sunucuya talepte bulunur.

İtme (Push): Bir cihazın veya sistemdeki bir kaynağın, veriyi otomatik olarak hedefe gönderdiği eylemidir. Kaynak, veri değişiklikleri olduğunda veya belirli bir koşul gerçekleştiğinde veriyi hedefe iletir. Örneğin, bir sunucu, yeni bir dosya oluşturulduğunda veya var olan bir dosya değiştirildiğinde, bu değişiklikleri hedef cihaza veya sisteme itebilir.

Gpgkey: Sistem üzerinden gönderilen e-mailleri şifrelemek için kullanılan anahtarı temsil eder.

Fetch GnuPG (PGP) key: GnuPG genel anahtarını getirir. GnuPG'nin genel anahtarı, diğer kullanıcıların verileri şifrelemek için kullandığı, herkese açık bir anahtardır.

Receive alerts when events are published: Bu seçenek, bir "Event" yayımlandığında yeni bir kullanıcıyı, otomatik olarak oluşturulan e-postaların alıcı listesine ekleyecektir.

Receive alerts from "contact reporter" requests: Olayın raporlayıcısı veya kaynaklarından daha fazla bilgi sağlamalarını istemek için yapılan bir iletişim isteğidir.

Immediately disable this user account: Kullanıcı hesabını hemen devre dışı bırakma işlemini belirtir. Bu seçeneği işaretlediğinizde, kullanıcı hesabı derhal etkisiz hale getirilir ve kullanıcı o andan itibaren sistemde erişim hakkını kaybeder.

Send credentials automatically: Otomatik olarak kimlik bilgilerini gönderme işlemini belirtir. Bu seçeneği işaretlediğinizde, kullanıcıya otomatik olarak bir kullanıcı adı ve şifre gönderilir. Bu, genellikle yeni bir kullanıcı hesabı oluşturulduğunda veya bir kullanıcının şifresi sıfırlandığında kullanılır. Kullanıcıya kimlik bilgileri e-mail yoluyla gönderilir ve böylece kullanıcı, hesabına erişim sağlayabilir.

Site yöneticileri, tüm kullanıcılara veya bireysel kullanıcılara e-mail göndermek için "Contact Users" özelliğini kullanabilir. GnuPG (PGP) anahtar setine sahip olan kullanıcılar e-maillerini şifrelenmiş olarak alacaklardır.

Ekran Görüntüsü - 2024-04-09 12-56-04.png

Action: Belirli bir e-mail türünü açıklar; ya özel bir ileti ya da şifre sıfırlama işlemi için kullanılır. Şifre sıfırlama e-postaları, otomatik olarak geçici bir şifreyi içeren bir mesajı alt kısmına ekler ve kullanıcının şifresini otomatik olarak bu yeni geçici şifreyle değiştirir.

Subject: Özel bir e-mail durumunda, buraya bir konu satırı girilebilir.

Recipient: Bu özellik, üç farklı kullanıcı grubuna ulaşmanıza olanak tanır:

      1. Tüm Kullanıcılar:Platformdaki tüm kullanıcılara ulaşılmasını sağlar.

      2. Tek Bir Kullanıcıya: Belirli bir kullanıcıya özel bir mesaj gönderilmesine olanak tanır. Tüm kullanıcıların e-mail adreslerinin bulunduğu ikinci bir açılır liste oluşturarak gerçekleştirilir.

      3. Potansiyel Gelecekteki Kullanıcılara: Gelecekteki kullanıcıların hedef alınmasını sağlar. e-mail adresi için bir metin alanı ve bir GnuPG (PGP) genel anahtarı için bir metin alanı sağlayarak gerçekleştirilir. Bu şekilde henüz platforma katılmamış kişilere de ulaşabilirsiniz.

Message: Şifre sıfırlamaları ve hoş geldin mesajları için kullanılabilir. Kendi mesajınızı yazabilirsiniz (geçici bir anahtar ve imza ile birlikte eklenecektir) veya sistem tarafından otomatik olarak bir tane oluşturmasına izin verebilirsiniz.

Not: Sisteme yeni bir kullanıcı eklerken veya bir kullanıcının şifresini manuel olarak sıfırlamak isterken sadece "Send credentials automatically" ayarı kullanılır.

Uyarı: GnuPG (PGP) örneği anahtarı, yalnızca MISP örneği tarafından kullanılan ve yalnızca bildirimleri imzalamak için kullanılan GnuPG (PGP) anahtarıdır. MISP örneğinde kullanılan GnuPG (PGP) anahtarı başka hiçbir yerde kullanılmamalı ve değerli olmamalıdır.

Add Organisation: 

Ekran Görüntüsü - 2024-04-09 13-51-49.png

Local Organisation: Organizasyonun bu örneğe erişimi olması gerekiyorsa, onay kutusunu işaretlenir. Yalnızca paylaşım gruplarına dahil etmek için bilinen bir dış organizasyon eklemek isteniyorsa, işaret kaldırılır.

Organisation Identifier: Organizasyon adı girilir.

Bir resim eklemek istenirse, 'Sunucu Ayarları' menüsünü kullanılarak web sunucusuna bir dosya eklenmelidir. Resmin aynı adı taşıması gerekir.

Uuid: Evrensel olarak benzersiz tanımlayıcı anlamına gelir. UUID'ler genellikle bilgisayar sistemlerinde benzersiz kimlikler oluşturmak için kullanılır.

MISP çoklu örneği arasında organizasyon paylaşımı yapmak istiyorsanız, aynı Uuid'yi kullanabilirsiniz.

Nationality: Organizasyonun ülkesini seçmek için açılır listeden bir seçenek belirtilebilir.

Sector: Organizasyonun faaliyet gösterdiği sektör belirtilebilir (finansal, ulaşım, telekomünikasyon vb.).

Type of Organisations: Organizasyonun türü belirtilebilir. 

Contact Details: Organizasyon için bazı iletişim bilgileri eklenebilir.

List Organisations: Bir sistem veya platformda bulunan organizasyonların bir listesini görüntülemek için kullanılır.

Bu menü, kullanıcıların belirli bir kategorideki veya belirli bir özellikteki organizasyonları bulmasına ve bunlarla etkileşime geçmesine olanak tanır. Örneğin, bir veri paylaşım platformunda, "List Organization" menüsü, kullanıcıların kayıtlı olan tüm organizasyonların isimlerini, ülkelerini, sektörlerini ve iletişim bilgilerini görüntülemesine olanak sağlayabilir.

Kullanıcıların istedikleri organizasyonları aramalarına, filtrelemelerine ve bu organizasyonlarla ilgili daha fazla bilgi almak veya iletişime geçmek için gerekli adımları atmalarına imkan tanır.

Ekran Görüntüsü - 2024-04-09 14-08-47.png

Bu görünümde yerel organizasyonları (Local Organizations), uzak organizasyonları (Known remote organizations) veya her ikisini birden (All organization) filtrelemek için 3 seçenek vardır. 

Add Roles: Yeni bir rol oluştururken, oluşturulacak rol için bir ad girilmesi, açılır menüyü ve ilgili onay kutularını kullanarak izinlerin ayarlanması gerekecektir.

Ekran Görüntüsü - 2024-04-09 14-21-55.png

Permisions:

image.png

Read Only: Kullanıcının, kuruluşunun erişim sahibi olduğu "Event"lere göz atmasına izin verir, ancak veritabanında herhangi bir değişiklik yapılmasına izin vermez.

Manage Own Events: Kullanıcıların kendi "Event"lerini oluşturmasına, değiştirmesine veya silmesine olanak tanır, ancak bunları yayınlayamazlar.

Manage Organisation Events:  Kullanıcıların, organizasyonlarının bir üyesi tarafından oluşturulan "Event"leri oluşturmasına veya değiştirmesine ve silmesine olanak tanır.

Manage and Publish Organisation Events: Kullanıcılara yukarıdakilerin tümünü yapma ve kuruluşlarının etkinliklerini yayınlama hakkı verir.

List Roles: Bir sistem veya platformda tanımlanmış olan rollerin bir listesini görüntülemek için kullanılır. Bu özellik, sistem yöneticilerinin hangi kullanıcıların hangi rollerle ilişkilendirildiğini kolayca görmelerini sağlar. 

Ekran Görüntüsü - 2024-04-09 14-42-28.png

Event Blocklist: Bir etkinliğin örneğe eklenmesini engeller. Var olan bir "Event"i bloke etmek, "Event"in kaldırılmasına neden olmaz. Event hala düzenlenebilir durumda olacaktır.

Event bloke etme işlevselliği varsayılan olarak etkindir. Event bloke etme etkinleştirildiğinde, silinen eventler otomatik olarak "event Blocklist"ine eklenir. Event bloke etme işlevselliğini etkinleştirme/devre dışı bırakma işlemi, MISP ayarlar görünümü kullanılarak yapılabilir.

Event Block Rules: "Event"lerin eklenmesini veya senkronize edilmesini engellemek için basit bir etiket filtresi eklenmesine olanak tanır.

Kullanım Senaryoları

Kullanım Senaryoları

Best Practise

(TAG) Etiketleme:

Eventin tamamına etiket(TAG) eklenebilir. Daha ayrıntılı bir spesifikasyon için etiketler attribute düzeyinde de yerleştirilebilir. Kullanıcının her attribute hakkında daha ayrıntılı ve seçici bir görünüm sunmasına olanak tanır.

Aşağıda verilen örnekte "Event" düzeyinde etiket ayarlanmıştır.

Ekran Görüntüsü - 2024-04-09 15-26-16.png

NOT: Hem "Event" hem de tüm "Attribute"lar için etiket eklemek yanlış bir uygulama olacaktır.

"Event" düzeyinde etiket örnekleri: 

Traffic Light Protocol (TLP): İstihbarat paylaşımının nasıl gerçekleştirileceğini belirlemek için dört renkli basit bir şema kullanır. Bu şema, paylaşılan bilginin hassasiyetini ve kısıtlamalarını belirleyerek, doğru paylaşımın sağlanmasına yardımcı olur.

TLP'nin temel amacı, bilgiyi sınıflandırarak, hangi çevrelere hangi düzeyde paylaşılabileceğini belirlemektir. Bu, doğru kişilere doğru bilgiyi sağlamanın yanı sıra, gereksiz dağıtımı önleyerek güvenlik risklerini azaltmaya da yardımcı olur.

Confidence: Paylaşılan verinin kalitesi ve güvenilirliği hakkında bir değerlendirme sunar. Verilerin kalitesi büyük farklılıklar gösterebilir ve paylaşım sırasında bu verilerin doğrulanıp doğrulanmadığı önemlidir.

Güven etiketi, verinin güvenilir bir tehdit göstergesi olduğuna veya en azından güvenilir bir gösterge olduğuna inanıldığını belirtir.

Permissible Actions Protocol (PAP): Veri sınıflandırması için daha gelişmiş bir yaklaşım sunar. Bu protokol, alınan verinin, bireysel bir şirket veya topluluk içindeki tehlikeleri aramak için nasıl kullanılabileceğini belirlemeye yöneliktir.

Bu etiketler, her bir etkinliğin hangi koşullarda ve nasıl paylaşılacağını belirlemek için kullanılır.

(DISTRIBUTION) Dağıtımı Ayarlama:  Etiketleme gibi, miras alma özelliği de mümkün olduğunca kullanılmalıdır. Bu, özellikle paylaşım grupları (sharing groups)  kullanılırken performans üzerindeki etkileri sınırlamak için önemlidir. Miras alma, bir olayın veya "Event"in "Attribute"lerini veya etiketlerini, üst düzeydeki bir kategoriden veya gruplardan otomatik olarak devralma yeteneğidir.

Sharing groups: MISP'deki paylaşım grupları, kullanıcıların kendi örneklerinden organizasyonların yanı sıra doğrudan veya dolaylı olarak bağlı örneklerden organizasyonları dahil etmelerine olanak tanıyan Eventler/Attributeler için yeniden kullanılabilir dağıtım listeleri oluşturmanın daha ayrıntılı bir yoludur.

Kullanım Senaryoları

Kullanıcı Soruları ve Cevapları