Skip to main content

SYNC ACTIONS

Tehdit bilgilerinin diğer güvenlik sistemleri veya hizmetlerle otomatik olarak paylaşılmasını ve senkronize edilmesini sağlar. Bu sayede, bir tehdit bilgisinin MISP'te paylaşılmasıyla birlikte, ilgili güvenlik araçları ve sistemler de bu bilgiye otomatik olarak erişebilir ve buna göre aksiyon alabilir.

Örneğin, bir güvenlik tehdidi MISP üzerinde tespit edildiğinde, MISP Sync Actions aracılığıyla bu bilgi bir SIEM (Security Information and Event Management) sistemi ile senkronize edilerek, SIEM sistemi o tehdide karşı otomatik olarak koruma politikalarını güncelleyebilir veya alarm üretebilir.

Ekran Görüntüsü - 2024-04-09 00-19-08.png

  • Remote Servers: Uzak sunuculara erişim sağlayarak, farklı MISP örnekleri arasında veri alışverişi yapılmasını sağlar.

 

  • Feeds: Feedler, düzenli aralıklarla MISP'e otomatik olarak alınabilen göstergeleri içeren uzak veya yerel kaynaklardır. Feedler, MISP formatında, CSV formatında veya serbest metin formatında yapılandırılabilir. 

List Feeds kategorisi altındanda, feed oluşturmak için kullanılan "DefaultLoad feeds"default feed metadata", "Caching Custom feeds" , "All feeds"Feeds" ve "EnabledFetching feeds" alanları bulunmaktadıbutonları yer almaktadır.

Ekran Görüntüsü - 2024-04-09 00-45-24.png

Default Feed:Feeds: Kullanıcılara bir dizi açık kaynaklı feed sağlar. Bu feedler, güncel tehdit bilgilerini içeren ve MISP platformuna otomatik olarak yüklenebilen kaynaklar sağlar.

Feed tanımlarını, Feeds sayfasındaki '"Load default feed metadata'metadata" butonu kullanılarak kolayca yüklenebilir. Bu özellik, "app/files/feed-metadata/defaults.json" dosyasındaki girişleri veritabanına içe aktararak yeni feedler oluşturur.

"Feed"lerin mevcut "feed"lerle çakışmasını önlemek için, feed URL'sini kullanarak yinelenenleri kontrol eder. Eğer aynı URL'ye sahip bir feed zaten veritabanında varsa, bu giriş içe aktarılmaz. Böylece, kullanıcıların yerel değişiklikleri (ad, dağıtım veya etkin durum gibi) korunur ve üzerine yazılması önlenir. 

Bu sayede, güncel feed tanımları MISP örneğine hızlıca entegre edilebilir ve mevcut "feed"ler korunabilir.

Caching Feeds: Kullanıcıların belirli veri "feed"lerinden gelen bilgileri önbelleğe almasını sağlar. Bu sayede, kullanıcılar sık sık eriştiği veya talep ettiği verilere daha hızlı bir şekilde erişilebilir hale gelir.

Bir feed içeriğini önbelleğe almak, bu verileri sunucuda depolamak ve bir sonraki erişimde daha hızlı erişilebilir hale getirmek anlamına gelir. Veri alışverişi süreçlerini hızlandırır ve kullanıcı deneyimini iyileştirir.

Fetching Feeds: Veri kaynaklarından (feedlerden) güncel bilgilerin alınması işlemidir. Bu işlem, kullanıcıların güncel tehdit bilgilerini veya diğer güvenlik verilerini MISP örneğine aktarmasını sağlar.

"Fetching feeds" işlemi genellikle düzenli aralıklarla otomatik olarak gerçekleştirilir.

Belirli aralıklarla otomatik güncelleme yapmak için, MISP platformunda genellikle bir zamanlayıcı veya zamanlama ayarı bulunur. Bu ayarlar, ne sıklıkla "feed"lerin güncelleneceğini belirlemek için kullanılır. Ayarlar, genellikle MISP'in yönetim arayüzünde veya yapılandırma dosyalarında yapılır.

MISP'in yapılandırma dosyalarında (örneğin config.php) "Feeds_auto_update" veya benzeri bir parametre bulunabilir. Bu parametre, "feed"lerin ne sıklıkla güncelleneceğini belirler ve genellikle saniye cinsinden bir değerdir.

Kullanıcılar ayrıca, ihtiyaç duydukları zaman elle de feedleri alabilirler. 

FEED EKLEME: 

Yeni bir feed eklemek için yan menüdeki "Add Feed" seçeneği seçilir.

Ekran Görüntüsü - 2024-04-09 01-32-58.png

  • Enabled: Feed aktif mi, değil mi? Eğer bu alan aktifse, o feedin düzenli olarak güncellendiği ve içeriğinin kullanıcılara ulaştırıldığı anlamına gelir. Eğer bu alan pasifse, feedin güncellenmediği veya geçici bir süre için devre dışı bırakıldığı anlamına gelir.
  • Caching enabled: Feed verilerinin önbelleğe alınıp alınmayacağını belirtir.
  • Lookup visible: İşaretlenmediğinde, korelasyonlar sadece sizin için görünür; işaretlendiğinde ise, korelasyonlar diğer kullanıcılar tarafından da görünür.
  • Disable correlation: İşaretlendiğinde, Feed'den gelen tüm olaylar için korelasyonlar devre dışı bırakılır.
  • Name: Feed'i tanımlamak için ad; benzersiz olması gerekmez.
  • Provider: İçerik sağlayıcısının adı
  • Input Source: Giriş kaynağı belirlenir. İki seçenek vardır:

image.png

    • Network: Verinin platform dışında bir ağ kaynağından geldiğini belirtir. Örneğin, bir web sitesi, bir uzak sunucu veya bir bulut hizmeti gibi dış kaynaklar, ağ üzerinden veri sağlar.
    • Local: Verinin yerel bir kaynaktan geldiğini belirtir. Yerel kaynaklar, kullanıcının kendi cihazında veya ağında barındırılan sunucular gibi doğrudan erişilebilen kaynaklar olabilir. Bu durumda, kullanıcı veriyi kendi kontrolü altındaki bir yerden alır.
      • Not: Bu durumda, "Remove input after ingestion(Girişten sonra kaldır)" adında yeni bir onay kutusu görünür. İşaretlenirse, kaynak kullanımdan sonra silinir.
  • URL: "Feed"in internet üzerindeki adresini veya yerel dosyanın yolunu belirtir.
  • Source Format: 3 farklı kaynak formatı vardır. Kaynak formatına göre feed ekleme alanları değişiklik gösterebilir. 

image.png

    • MISP Feed: Kaynak, MISP "Event"leri gibi JSON biçimli dosyaların bir listesine işaret ediyor.
      • Örneğin: https://www.circl.lu/doc/misp/feed-osint

 

 

 

 

 

 

SightingDB: Gözlemlerle ilgili verilere erişim sağlar, bu da MISP platformunda gözlemlenen tehditler hakkında daha fazla bilgi edinmenizi sağlar.

Communities: MISP topluluğuna erişim sağlayarak, farklı kullanıcılar ve kuruluşlarla veri paylaşımı ve işbirliği yapmanızı sağlar.

Cerebrates: Zeka servislerine erişim sağlayarak, farklı zeka sağlayıcılarından gelen tehdit istihbaratı verilerine erişmenizi sağlar.

TAXII Servers: TAXII protokolü üzerinden çalışan sunuculara erişim sağlayarak, MISP örneğinize farklı kaynaklardan veri alışverişi yapmanızı sağlar.

Event ID translator: Farklı olay kimlik formatları arasında dönüşüm yapmanızı sağlayarak, MISP örneğinizdeki olayların tutarlı bir şekilde işlenmesini ve yönetilmesini sağlar.

Back to top