Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
MISP & TheHive/Cortex in 20 minutes
ninoseki
July 04, 2019
Technology
0
490
MISP & TheHive/Cortex in 20 minutes
NCA TRANSITS 2019
ninoseki
July 04, 2019
Tweet
Share
More Decks by ninoseki
See All by ninoseki
AVTokyo 2020 Phishing Kit Analysis Workshop
ninoseki
2
890
Botconf 2019 OSINT 101
ninoseki
2
600
DNS changerとハニーポット
ninoseki
2
1.1k
How to become a phisherman
ninoseki
0
850
HTTP(S)ハニポを作ってみた
ninoseki
4
1.6k
OWASP Juice Shop どうでしょう
ninoseki
1
610
Other Decks in Technology
See All in Technology
Periodic Multi-Agent Path Planning
hziwara
0
160
モバイルモーションキャプチャーデバイス「mocopi」を軽く試してみた / IoTLT vol.95 (新年会IoTLTラジオ)
you
0
100
S3とCloudWatch Logsの見直しから始めるコスト削減 / Cost saving S3 and CloudWatch Logs
shonansurvivors
0
280
230125 古いタブレットの活用 かーでぃさん
comucal
PRO
0
17k
OpenShift.Run2023_create-aro-with-terraform
ishiitaiki20fixer
1
370
ECSコスト削減のブレイクアウトセッションを聴いてきた話 / joining a breakout session on reducing costs with ECS
yayoi_dd
0
140
OpenShiftのリリースノートを整理してみた
loftkun
2
460
Google Cloud Workflows: API automation, patterns and best practices
glaforge
0
110
ポストモーテム運用を支える文化と技術 / Culture and Technology Supporting Postmortem Operations
chaspy
1
110
JAWS-UG 横浜 #54 資料
takakuni
0
220
イ良い日ンマを作る(USBストレージ容量偽装の手法) / USB Storage Capacity Faking Techniques
shutingrz
0
570
日経電子版だけじゃない! 日経の新規Webメディアの開発 - NIKKEI Tech Talk #3
sztm
0
350
Featured
See All Featured
Design by the Numbers
sachag
271
18k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
270
12k
Debugging Ruby Performance
tmm1
67
11k
Become a Pro
speakerdeck
PRO
6
3.2k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
How to train your dragon (web standard)
notwaldorf
66
4.3k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
22
1.7k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
214
12k
Why Our Code Smells
bkeepers
PRO
326
55k
Robots, Beer and Maslow
schacon
154
7.3k
Build your cross-platform service in a week with App Engine
jlugia
221
17k
GraphQLとの向き合い方2022年版
quramy
20
9.9k
Transcript
MISP & TheHive/Cortex in 20 minutes @ninoseki
TL; DR • MISP: Malware Information Sharing Platform ◦ その名の通り、マルウェアの情報を共有するための
Webアプリケーション ▪ 現在は“マルウェア”に限らず、色々なIoCを共有できるようになっている • E.g. BIN(Bank Identification Number), BTC(Bitcoin Address), etc. ◦ OSSとして開発されている ▪ https://github.com/MISP/MISP ▪ 主な開発母体はルクセンブルクの CIRCL • TheHive/Cortex: ◦ インシデント対応のタスク管理 + IoCの分析ができるWebアプリケーション ◦ OSSとして開発されている ▪ https://github.com/TheHive-Project ▪ 主な開発母体はフランスの CERT-BDF
Motivation
(´-`).。oO(ここら辺のタスクを自動化できたら良いよね・・・) Source: The Practice of Network Security Monitoring
MISP
A Brief History of MISP • 2011/2012年: ◦ 複数のグループで同じマルウェアを解析していることに気づく ◦
同じことを別々にするのって無駄じゃないか ?という問題意識 ◦ Belgian MoDのCERTに所属していたChristophe Vandeplas(@cvandeplas)がMISPのプロトタイ プを作る ▪ 当時はMISPではなく、Cyber Defence Signatures(CyDefSIG)という名前だったらしい ◦ NATOもこれを開発するようになる • 201?年: ◦ MISPはコミュニティドリブンな OSSプロジェクトになる ▪ 主な開発母体はCIRCL ▪ 主要開発者: • @iglocska(CIRCL, ex-NATO), @chrisr3d(CIRCL), @mokaddem(CIRCL), @adulau(CIRCL)
What MISP Can Do • IoC(Indicator of Compromise)の共有 ◦ IoC:
IP, Domain, URL, Hash, etc. • IoCのエンリッチメント ◦ VirusTotal, Shodan, SecurityTrails, etc. • IoCのビジュアライズ(相関関係の可視化など)
Demo
TheHive/Cortex
What is TheHive/Cortex? • TheHive: Security incident response team ◦
インシデントの管理 ▪ タスク管理, IoC管理 • Cortex: Observable(IoC) analysis engine ◦ 110+のアナライザーによる IoCのエンリッチメント • 主な開発母体はCERT-BDF(Banque de France)
TheHive/Cortex Workflow Souce: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1513005759.pdf
Demo
MISP & TheHive/Cortex
Souce: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1513005759.pdf
Who Uses Them?
MISP & TheHive Cortex Users • MISP: ◦ NATO ◦
Walmart ◦ Siemens ◦ LAC ◦ etc. • MISP & TheHive/Cortex: ◦ CERN ◦ Leonardo
CERN SOC: Real World Use Case • Souce: https://indico.cern.ch/event/775579/contributions/3306040/attachments/1808103/2951821/2019-02-20__WLCG_SOC_WG_CERN_SOC_Update.pdf
CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf
CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf
CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf
Before Starting...
Define Your Mission Before Starting “業務の前にツールを考えてしまうセキュリティ組織が多すぎる。(中略)ツール駆動な チームは、ミッション駆動なチームより効率的になることはない。動かしているソフトウェ アによってミッションが決まってしまうと、アナリスト達はそのツールの機能や制限事項に とらわれてしまう。ミッションを遂行するために何が必要かという観点で考えるアナリスト は、要求に見合うツールを探し、要求を満たすものがあるまで探し続ける。”
--- Richard Bejtlich 「入門 監視」(オライリー, 2019)
Alternatives • OSS: ◦ YETI: https://github.com/yeti-platform/yeti ◦ CRITS: https://github.com/crits/crits ◦
IntelMQ: https://github.com/certtools/intelmq ◦ OpenCTI: https://github.com/OpenCTI-Platform/opencti ◦ etc. • コマーシャル: ◦ AlienVault ◦ EclecticIQ ◦ Anomali ◦ ThreatQ ◦ etc.