Herkese merhaba. Bu yazımda Malware Information Sharing Platform yani MISP ten bahsedeceğim. Teorik olarak açıkladıktan sonra ise CentOS cihazı üzerine MISP kurulumunu gerçekleştireceğim. Öncelikle MISP in ne olduğuna bir bakalım.
MISP Nedir?
En basit tanımı ile Siber Tehdit İstihbaratı Paylaşım Platformu olarak bilinir. MISP, siber güvenlik olayları ve kötü amaçlı yazılım analizi ile ilgili siber güvenlik göstergelerini ve tehditlerini toplamak, depolamak ve paylaşmak için kullanılan open-source tehdit istihbaratı ve paylaşım platformudur. Bu istihbarat platformu, kötü niyetli yazılımları ve saldırganları daha iyi anlamak ve tanımlamak için kullanılır.
Tehdit istihbaratını basitçe tanımlamak gerekirse; siber saldırıları önlemenize, tanımlamanıza ve azaltmanıza olanak tanıyan bilgilerdir. Önemli özelliklerinden birisi de elde edilen bilgileri yine aynı platform üzerinden kolaylıkla başkalarıyla paylaşabilmenizdir.
MISP Nerelerde Kullanılır?
MISP, siber güvenlik analistleri, olay analistleri, güvenlik uzmanları ve malware ile mücadele eden kişiler için geliştirilmiş bir yazılımdır. Bilgi alışverişinin yanı sıra ağ saldırı tespit sistemleri (NIDS), log tabanlı saldırı tespit sistemi (LIDS), SIEM'ler tarafından bilgi tüketimini desteklemek için kullanılır. SIEM ürünlerine APIler ile entegre edilerek alınan bilgilerin MITRE Att&CK framework ü ile de korelasyonu yapılabilmektedir. MISP'in bir başka özellikleri şu şekilde sıralanabilir;
- MISP, görülen kötü amaçlı yazılımlar ve saldırılar hakkında teknik ve teknik olmayan bilgilerin depolanmasını sağlar.
- Kötü amaçlı yazılım ve nitelikleri arasında otomatik olarak ilişkiler oluşturur.
- Tüm istihbarat ve tehdit özellikleri verilerini yapılandırılmış bir biçimde depolar.
- User-friendly ara yüzü sayesinde hızlı bir şekilde olay ya da bilginin paylaşımı sağlanır.
- En önemli özelliklerinden birisi de yapısal bir formatta verileri saklayabilmesidir. Böylelikle siber güvenlik ve finansal sektörler bir arada ortaklaşa bir şekilde çalışabilmektedir. Örneğin MISP platformundaki malware analizlerinin ya da bilgilerini SIEM ürününe API ler ile entegre ederek gelen loglar arasında iletişimini sağlayıp korelasyon oluşturabilirsiniz.
- Düz metin, CSV, MISP XML ya da JSON formatlarında dosya aktarımı sağlayabilir.
- SIEM örneğinde olduğu gibi kendi çözümlerinizi entegre edebilmenizi sağlayan esnek bir API yapısına sahiptir. PyMISP Python kütüphanesini kullanarak diğer uygulamalarla entegrasyonu daha kolay hale getirmektedir.
"Curl" komutunu kullanarak "https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh -o misp_install.sh" adresindeki script dosyasını sunucumuza indirebiliriz.
İndirmiş olduğumuz "misp_install.sh" kurulum scriptine çalıştırma yetkileri vermek için "chmod u+x" komutunu kullanabiliriz. Script içerisindeki tüm modülleri kurmak için -A parametresini kullanmamız gerekmektedir. Kurulumu bu şekilde başlattıktan sonra tamamlanması 15-20 dakikayı bulabilmektedir.
Kurulum tamamlandıktan sonra "etc/passwd" dosyası içerisinden kullanıcılarımı kontrol ettiğimde "misp" kullanıcısının oluştuğunu görebilmekteyiz. Kullanıcıya "su" komutu ile geçiş yaparak iptables'a 443 ve 80 tcp portları için kural eklememiz gerekmektedir.
Denetim sekmesine girerken sol tarafta bulunan "List Logs" sekmesini seçtiğimiz zaman logların listelendiğini görmekteyiz. Burada tehdit istihbaratı ile ilgili her loglara artık doğrudan erişimimiz bulunmaktadır. Burada örneğin saldırıları izleyebilir ve başkalarıyla doğrudan paylaşabilirsiniz.
Benzer şekilde çeşitli sunuculardan kötü amaçlı yazılım analizi yapabiliriz. NIDS, LIDS ve API ile entegre ettiğimiz SIEM ürünlerinin de loglarını görüntüleyebiliriz.
Hiç yorum yok:
Yorum Gönder