Upgrade to Pro — share decks privately, control downloads, hide ads and more …

MISP & TheHive/Cortex in 20 minutes

MISP & TheHive/Cortex in 20 minutes

NCA TRANSITS 2019

6589e3179283043e0f5907144b9ad6eb?s=128

ninoseki

July 04, 2019
Tweet

More Decks by ninoseki

Other Decks in Technology

Transcript

  1. MISP & TheHive/Cortex in 20 minutes @ninoseki

  2. TL; DR • MISP: Malware Information Sharing Platform ◦ その名の通り、マルウェアの情報を共有するための

    Webアプリケーション ▪ 現在は“マルウェア”に限らず、色々なIoCを共有できるようになっている • E.g. BIN(Bank Identification Number), BTC(Bitcoin Address), etc. ◦ OSSとして開発されている ▪ https://github.com/MISP/MISP ▪ 主な開発母体はルクセンブルクの CIRCL • TheHive/Cortex: ◦ インシデント対応のタスク管理 + IoCの分析ができるWebアプリケーション ◦ OSSとして開発されている ▪ https://github.com/TheHive-Project ▪ 主な開発母体はフランスの CERT-BDF
  3. Motivation

  4. (´-`).。oO(ここら辺のタスクを自動化できたら良いよね・・・) Source: The Practice of Network Security Monitoring

  5. MISP

  6. A Brief History of MISP • 2011/2012年: ◦ 複数のグループで同じマルウェアを解析していることに気づく ◦

    同じことを別々にするのって無駄じゃないか ?という問題意識 ◦ Belgian MoDのCERTに所属していたChristophe Vandeplas(@cvandeplas)がMISPのプロトタイ プを作る ▪ 当時はMISPではなく、Cyber Defence Signatures(CyDefSIG)という名前だったらしい ◦ NATOもこれを開発するようになる • 201?年: ◦ MISPはコミュニティドリブンな OSSプロジェクトになる ▪ 主な開発母体はCIRCL ▪ 主要開発者: • @iglocska(CIRCL, ex-NATO), @chrisr3d(CIRCL), @mokaddem(CIRCL), @adulau(CIRCL)
  7. What MISP Can Do • IoC(Indicator of Compromise)の共有 ◦ IoC:

    IP, Domain, URL, Hash, etc. • IoCのエンリッチメント ◦ VirusTotal, Shodan, SecurityTrails, etc. • IoCのビジュアライズ(相関関係の可視化など)
  8. Demo

  9. TheHive/Cortex

  10. What is TheHive/Cortex? • TheHive: Security incident response team ◦

    インシデントの管理 ▪ タスク管理, IoC管理 • Cortex: Observable(IoC) analysis engine ◦ 110+のアナライザーによる IoCのエンリッチメント • 主な開発母体はCERT-BDF(Banque de France)
  11. TheHive/Cortex Workflow Souce: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1513005759.pdf

  12. Demo

  13. MISP & TheHive/Cortex

  14. Souce: https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1513005759.pdf

  15. Who Uses Them?

  16. MISP & TheHive Cortex Users • MISP: ◦ NATO ◦

    Walmart ◦ Siemens ◦ LAC ◦ etc. • MISP & TheHive/Cortex: ◦ CERN ◦ Leonardo
  17. CERN SOC: Real World Use Case • Souce: https://indico.cern.ch/event/775579/contributions/3306040/attachments/1808103/2951821/2019-02-20__WLCG_SOC_WG_CERN_SOC_Update.pdf

  18. CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf

  19. CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf

  20. CERN SOC: Real World Use Case Source: https://indico.cern.ch/event/762505/contributions/3375193/attachments/1830505/2997666/slides.pdf

  21. Before Starting...

  22. Define Your Mission Before Starting “業務の前にツールを考えてしまうセキュリティ組織が多すぎる。(中略)ツール駆動な チームは、ミッション駆動なチームより効率的になることはない。動かしているソフトウェ アによってミッションが決まってしまうと、アナリスト達はそのツールの機能や制限事項に とらわれてしまう。ミッションを遂行するために何が必要かという観点で考えるアナリスト は、要求に見合うツールを探し、要求を満たすものがあるまで探し続ける。”

    --- Richard Bejtlich 「入門 監視」(オライリー, 2019)
  23. Alternatives • OSS: ◦ YETI: https://github.com/yeti-platform/yeti ◦ CRITS: https://github.com/crits/crits ◦

    IntelMQ: https://github.com/certtools/intelmq ◦ OpenCTI: https://github.com/OpenCTI-Platform/opencti ◦ etc. • コマーシャル: ◦ AlienVault ◦ EclecticIQ ◦ Anomali ◦ ThreatQ ◦ etc.