怎樣實(shí)時(shí)查看MISP實(shí)例的威脅情報(bào)信息

這篇文章將為大家詳細(xì)講解有關(guān)怎樣實(shí)時(shí)查看MISP實(shí)例的威脅情報(bào)信息，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

下面將會(huì)給大家介紹如何利用Misp-Dashboard實(shí)時(shí)查看來自MISP實(shí)例的威脅情報(bào)信息。Misp-Dashboard可以幫助研究人員實(shí)時(shí)查看MISP實(shí)例（ZMQ Feeds）傳遞的數(shù)據(jù)和統(tǒng)計(jì)結(jié)果。Misp-Dashboard是一款儀表盤工具，它可以作為一款威脅情報(bào)實(shí)時(shí)感知工具來使用，該工具繼承了Gamification工具來顯示每一個(gè)組織的貢獻(xiàn)度以及實(shí)時(shí)排名，儀表盤內(nèi)容還可以給安全操作中心（SOC）、安全研究團(tuán)隊(duì)或網(wǎng)絡(luò)安全測試人員提供威脅追蹤服務(wù)。

功能介紹

實(shí)時(shí)信息儀表盤

1、可訂閱來自不同MISP實(shí)例的多個(gè)ZMQ feeds；

2、可查看不同組織的實(shí)時(shí)貢獻(xiàn)度；

3、顯示實(shí)時(shí)可解析的威脅情報(bào)發(fā)布地理位置；

地理定位儀表盤

1、提供歷史地理位置信息，以支持安全團(tuán)隊(duì)、CSIRT或SOC在其選區(qū)內(nèi)發(fā)現(xiàn)威脅；

2、從特定區(qū)域獲取地理位置信息；

貢獻(xiàn)度儀表盤（集成Gamification）

1、所有組織的月貢獻(xiàn)度；

2、最新貢獻(xiàn)的組織（動(dòng)態(tài)更新）；

3、所有組織的貢獻(xiàn)等級；

4、每一個(gè)組織的貢獻(xiàn)類別；

5、選中組織的當(dāng)前排名（動(dòng)態(tài)更新）；

用戶儀表盤

1、顯示平臺使用時(shí)間和使用方式；

2、登錄和貢獻(xiàn)時(shí)間；

趨勢儀表盤

1、提供實(shí)時(shí)信息以支持安全團(tuán)隊(duì)、CSIRT或SOC發(fā)現(xiàn)威脅和惡意活動(dòng)；

2、顯示更多的活動(dòng)事件、分類和標(biāo)簽；

3、顯示討論信息；

工具安裝

注意：該工具目前只支持在類Unix操作系統(tǒng)平臺上運(yùn)行，比如說Linux等等。

首先，使用下列命令將項(xiàng)目源碼克隆至本地：

git clone https://github.com/MISP/misp-dashboard.git

然后切換到本地項(xiàng)目目錄中，運(yùn)行下列命令：

./install_dependencies.sh

更新配置文件config.cfg，并匹配用戶本地系統(tǒng)，此時(shí)需要修改的參數(shù)如下：

edisGlobal -> hostRedisGlobal -> portRedisGlobal -> zmq_urlRedisGlobal -> misp_web_urlRedisMap -> pathMaxMindDB

工具更新

重新運(yùn)行install_dependencies.sh腳本來獲取新的依賴組件：

./install_dependencies.sh

對比config.cfg.default文件中的修改項(xiàng)，然后重新更新你的配置文件config.cfg。

請確保當(dāng)前沒有zmq Python3腳本正在運(yùn)行，因?yàn)樵撃_本會(huì)阻止項(xiàng)目更新：

+ virtualenv -p python3 DASHENVAlready using interpreter /usr/bin/python3Using base prefix '/usr'New python executable in /home/steve/code/misp-dashboard/DASHENV/bin/python3Traceback (most recent call last):  File "/usr/bin/virtualenv", line 9, in <module>    load_entry_point('virtualenv==15.0.1', 'console_scripts', 'virtualenv')()  File "/usr/lib/python3/dist-packages/virtualenv.py", line 719, in main    symlink=options.symlink)  File "/usr/lib/python3/dist-packages/virtualenv.py", line 942, in create_environment    site_packages=site_packages, clear=clear, symlink=symlink))  File "/usr/lib/python3/dist-packages/virtualenv.py", line 1261, in install_python    shutil.copyfile(executable, py_executable)  File "/usr/lib/python3.5/shutil.py", line 115, in copyfile    with open(dst, 'wb') as fdst:OSError: [Errno 26] Text file busy: '/home/steve/code/misp-dashboard/DASHENV/bin/python3'

接下來，運(yùn)行下列命令重啟系統(tǒng)：

./start_all.sh

或

./start_zmq.sh./server.py &

啟動(dòng)系統(tǒng)

注意：Misp-Dashboard僅需常規(guī)權(quán)限即可運(yùn)行，無需使用root權(quán)限。

確保本地已運(yùn)行了Redis服務(wù)器：

redis-server --port 6250

激活你的Virtualenv環(huán)境：

. ./DASHENV/bin/activate

啟用zmq_subscriber來監(jiān)聽MISP feed：

./zmq_subscriber.py &

開啟調(diào)度程序來處理接收到的信息：

./zmq_dispatcher.py &

開啟Flask服務(wù)器：

./server.py &

訪問接口：

http://localhost:8001/

或者，你也可以直接運(yùn)行start_all.sh腳本來自動(dòng)運(yùn)行上述所有命令。

身份認(rèn)證

我們可以在config/config.cfg文件中設(shè)置“auth_enabled = True”來啟用身份認(rèn)證功能。

zmq_subscriber選項(xiàng)

A zmq subscriber. It subscribe to a ZMQ then redispatch it to the MISP-dashboardoptional arguments:  -h, --help            show this help message and exit  -n ZMQNAME, --name ZMQNAME                        The ZMQ feed name  -u ZMQURL, --url ZMQURL                        The URL to connect to

使用mod_wsgi在產(chǎn)品中完成部署

安裝Apache mod-wsgi（Python 3）：

sudo apt-get install libapache2-mod-wsgi-py3

如果你安裝了Python2版本的mod_wsgi，那么舊版本的將會(huì)被替換：

The following packages will be REMOVED:  libapache2-mod-wsgiThe following NEW packages will be installed:  libapache2-mod-wsgi-py3

接下來，配置項(xiàng)目文件夾權(quán)限和文件（“/etc/apache2/sites-available/misp-dashboard.conf”）：

<VirtualHost *:8001>    ServerAdmin admin@misp.local    ServerName misp.local    DocumentRoot /var/www/misp-dashboard    WSGIDaemonProcess misp-dashboard \       user=misp group=misp \       python-home=/var/www/misp-dashboard/DASHENV \       processes=1 \       threads=15 \       maximum-requests=5000 \       listen-backlog=100 \       queue-timeout=45 \       socket-timeout=60 \       connect-timeout=15 \       request-timeout=60 \       inactivity-timeout=0 \       deadlock-timeout=60 \       graceful-timeout=15 \       eviction-timeout=0 \       shutdown-timeout=5 \       send-buffer-size=0 \       receive-buffer-size=0 \       header-buffer-size=0 \       response-buffer-size=0 \       server-metrics=Off    WSGIScriptAlias / /var/www/misp-dashboard/misp-dashboard.wsgi    <Directory /var/www/misp-dashboard>        WSGIProcessGroup misp-dashboard        WSGIApplicationGroup %{GLOBAL}        Require all granted    </Directory>    LogLevel info    ErrorLog /var/log/apache2/misp-dashboard.local_error.log    CustomLog /var/log/apache2/misp-dashboard.local_access.log combined    ServerSignature Off</VirtualHost>

關(guān)于怎樣實(shí)時(shí)查看MISP實(shí)例的威脅情報(bào)信息就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。