MISP는 외부의 OSINT 공유 정보를 Feed 기능을 통해 가져올 수 있다.
CIRCL OSINT Feed, The Botvrij.eu Data 등 2개의 Feed를 목록에서 기본적으로 확인할 수 있고, MISP에서 제공하는 65개 Feed를 추가할 수 있다.
유형별로 대표적인 Feed들을 분류하면 다음과 같다. (더보기 클릭)
악성코드 정보
- CIRCL (룩셈부르크 침해사고대응센터)
- URL Haus Malwares URLs (abuse.ch)
- malshare.com (malshare.com)
- Malware Bazaar (abuse.ch)
- CyberCure - Hash Feed (cybercure.ai)
사이버 범죄
- cybercrime-tracker-all (cybercrime-tracker.net)
- cybercrime-tracker hashlist
- cybercrime-tracker gatelist
피싱
- Phishtank (phishtank.com)
- OpenPhish (openphish.com)
- PhishScore (phishstat.info)
악의적인 네트워크 정보
- Feodo IP Blocklist (abuse.ch)
- CyberCure - IP Feed (cybercure.ai)
- CyberCure - Blocked URL IP Feed (cybercure.ai)
- Tor exit nodes, Tor ALL nodes (dan.me.uk)
위협 인텔리전스
- Threatfox (abuse.sh)
- DigitalSide Threat-Intel OSINT Feed (osint.digitalside.it)
- Metasploit exploits with CVE assigned (ecrimelabs.net)
그 외에도 다수의 IP, URL, DNS, Mirai 등의 Feed 목록을 제공한다.
다수의 Feed를 활성화 할 경우 데이터베이스 용량을 많이 차지 하기 때문에 주의가 필요하다.
- 약 16개 Feed 활성화 이후 DB 파일이 80G 이상으로 급증했다.
- 테스트는 2~3개 Feed만 활성화 하고 진행한다.
- 실환경에 구축할 경우 다수의 MISP 노드를 구축하고, 각 노드 별로 담당 Feed를 구분해서 지정한다.
본문은 아래 영상의 내용을 정리한 것이다.
1. Feed 설정
1.1. Feed 목록 업데이트
Sync Actions → List Feeds 로 이동한다.
Load default feed metadata를 클릭하면 Feed 목록이 추가된다.
1.2. 필요한 Feed 활성화
예제는 CICRL - 1번, PhishTank - 8번을 체크하고 Enable Selected를 클릭한다.
1.3. 선택한 Feed 데이터 다운로드
Fetch and store all feed data를 클릭하면 활성화 된 Feed의 데이터를 다운로드한다.
1.4. Jobs에서 정상 동작 확인
Administration → Jobs로 이동하면 진행 중인 작업을 확인할 수 있다.
CIRCL feed는 다운로드가 상당히 오래 걸린다.
2. Feed 데이터 확인
2.1. 위협지표 OSINT 데이터 추가 확인
Event Actions → List Event로 이동하여 ID를 클릭하면 오름차순 또는 내림차순으로 정렬할 수 있다.
Clusters 컬럼이나 Tags 컬럼을 확인하면 어떤 유형의 위협 지표인지, 출처가 어디인지, 공개 등급 등 다양한 정보를 식별할 수 있다.
2.2. 정보 조회 및 관련 링크 확인
이벤트 상세 정보 확인
각 이벤트의 ID를 클릭하면 상세 정보를 확인할 수 있다.
ATT&CK Matrix
Galaxies에 ATT&CK TID가 있으면, ATT&CK Matrix 탭에서 Matrix 형태로 조회할 수 있다.
Correltaion Graph
또한 Correlation graph를 통해 관련 지표, 태그, 이벤트, Galaxy (Cluster), TID 등의 상관 관계를 파악할 수 있다.
Attributes
Attribute에서는 해시, IP, URL 등 위협 지표, VirusTotal, 관련 분석 보고서 (블로그, PDF, 웹사이트) 등을 확인할 수 있다.
우려한 대로 Attribute가 10,000건 이상 되는 이벤트는 조회하는데 상당히 오래 걸리는 것을 확인할 수 있다.
2.3. 해당 Event 관련 위협 지표 추가
MISP 사용해보기 1 - 기본 설정과 이벤트 추가 의 4.2. 해당 Event 관련 위협 지표 추가 내용을 참고한다.
2021.06.09 - [::: 정보보안 :::] - MISP 사용해보기 1 - 기본 설정과 이벤트 추가
MISP 사용해보기 1 - 기본 설정과 이벤트 추가
본문은 아래 영상의 내용을 정리한 것이다. Intro to MISP 각 작업들은 수작업으로 진행하는 것을 정리했지만, MISP API를 이용하면 각 단계별 자동화도 가능할 것으로 판단된다. Quick Start 문서는 워낙
www.bearpooh.com
'::: 정보보안 :::' 카테고리의 다른 글
| MISP 사용해보기 4 - 대량 지표 입력 (0) | 2021.06.09 |
|---|---|
| MISP 사용해보기 3 - 보강 지표 생성 (2) | 2021.06.09 |
| MISP 사용해보기 1 - 기본 설정과 이벤트 추가 (0) | 2021.06.09 |
| TheHive: a Scalable, Open Source and Free Security Incident Response Platform (4) | 2021.06.08 |
| YETI (Your Everyday Threat Intelligence) (0) | 2021.06.07 |