Siber Tehdit İstihbaratı Paylaşım Platformu MISP Nedir?

BT toplulukları her geçen gün yeni tehditlerle karşılaşmaktadırlar. Bu tehditler ve güvenlik olaylarıyla bireysel olarak savaşmak neredeyse imkansızdır. Bu nedenle topluluklar arası bilgi paylaşımı nerdeyse hayati önem taşıyan unsur haline gelmiştir. Bu yazıda Zararlı Yazılım Bilgi Paylaşım Platformu ve Tehdit Paylaşım Projesi olan MISP üzerinden önemli göstergelerin toplanmasını ve paylaşılmasını inceleyeceğiz.

Bu platform CIRCL’den bir grup geliştirici ve aynı zamanda Belçika Savunma ve NATO / NCIRC (Computer Incident Response Capability) tarafından geliştirilen, ücretsiz bir yazılım olan zararlı yazılım bilgi paylaşım platformudur.

Siber Tehdit İstihbaratı Amaç; 

Bu güvenlik platformun amacı, hedeflenen saldırılara karşı kullanılan karşı önlemlerin geliştirilmesine yardımcı olmak ve önleyici eylemler oluşturmaktır. MISP, siber güvenlik göstergeleri, siber güvenlik olayları analizi ve kötü amaçlı yazılım analizleri hakkında tehdit toplamak, depolamak, dağıtmak ve paylaşmak için geliştirilmiş açık kaynaklı yazılımdır. Yapılandırılmış bilgileri verimli bir şekilde paylaşmak için günlük operasyonları desteklemek üzere, olay analistleri, güvenlik ve ICT uzmanları tarafından tasarlanmaktadır. Asıl amacı güvenlik grupları arasında bilgilerin paylaşılmasını teşvik etmektir. Bilgi alışverişini desteklemek için işlevsellik sağlar. Aynı zamanda Network Detection Intrusion System (NIDS), LIDS, günlük analiz araçları, SIEM’ler için tüketilecek, işlenecek veri sağlamaktır.

Siber Tehdit İstihbaratı Özellikleri;

  • Kötü amaçlı yazılım ve saldırılarla ilgili teknik ve teknik olmayan bilgilerin depolanmasını kolaylaştırmak,
  • Kötü amaçlı yazılım ve öznitelikleri arasında otomatik olarak ilişkiler oluşturmak,
  • Son kullanıcıların olaylar ve korelasyonlar arasında sorunsuz bir şekilde gezebilmesi için grafik ara birimi oluşturmak, analistlerin etkinliklere ve niteliklere katkıda bulunmasına yardımcı olmak için gelişmiş filtreleme işlevleri ve uyarı listeleri kullanmak,
  • Verileri yapılandırılmış bir biçimde saklanmak,
  • Kötü amaçlı yazılım ve tehdit özelliklerini diğer kullanıcılar ve güvenlik gruplarıyla paylaşmak,
  • Güvenilir bir bilgi platformu oluşturmak,
  • Yinelenen çalışmalardan kaçınmak için kurumlar arasında bilgi alışverişini teşvik etmek, kötü amaçlı yazılım tespitini ve geri dönüşü geliştirmek,
  • IDS, OpenIOC, plain text, CSV, MISP XML veya JSON çıktısını; (ağ IDS, host IDSi özel araçlar), STIX ,(XML ve JSON), NIDS gibi diğer sistemlerle dışa aktarmak,
  • Yapılandırılmamış raporların MISP’e entegrasyonunu kolaylaştırmak için ücretsiz metin içe aktarma aracı hizmeti vermek,
  • Olay veya göstergelerin başka bir kuruluşa yayınlanabilmesi için anonim mekanizmaya izin vermek,

Erişim;

MISP, bir web arayüzü (analistler veya olay müdahale ekipleri için) üzerinden kullanılabilmektedir. Aynı zamanda REST API üzerinden de tehdit göstergelerini (IOCs) alıp gönderebilmektedir.

MİSP Kullanımı

Etkinlik Oluşturmak

Misp Etkinlik Oluşturmak

Date: Olayın gerçekleştiği tarih. Açılır pencereden tarih seçimi yapabiliyoruz.

Distribution: Olayı hangi kullanıcıların görebileceğine izin verilen yerdir. İçerisinde aşağıdaki seçenekler mevcuttur;

  • Your organization only: Bu ayar, yalnızca kuruluşunuzun üyelerinin bu etkinliği görmesine izin verir.
  • This Community-only: Kendi MISP topluluğunun bir parçası olan kullanıcılar bu etkinliği görebilir. Bu ayar, kendi kuruluşunuzu, bu MISP sunucusundaki kuruluşları ve bu sunucuyla senkronize MISP sunucularını çalıştıran kuruluşları içerir.
  • Connected communities: MISP topluluğunun bir parçası olan kullanıcılar bu etkinliği görebilir. Buna, bu MISP sunucusundaki tüm kuruluşlar, bu sunucuyla senkronize olan MISP sunucularındaki tüm kuruluşlar ve söz konusu sunuculara bağlanan sunucuları barındıran kuruluşları dahildir . Bağlantılı sunuculara bağlı olan ve bunlardan 2 şeritten fazla uzak diğer tüm organizasyonlar olayı görmekten men edilecektir.
  • All communities: Bu etkinlik tüm MISP topluluklarıyla paylaşılacak ve etkinliğin bir sunucudan diğerine yayılmasına izin verecektir.
  • Sharing group: Bu, etkinliği tanımlanmış paylaşım grubuna paylaşır. Bu, yalnızca paylaşım grubunda tanımlanan kuruluşları içerir.

Threat Level: Bu alan olayın risk seviyesini gösterir. Olaylar üç farklı tehdit kategorisinde (düşük, orta, yüksek) kategorize edilebilir. Bu alan default değer olarak tanımsız bırakılabilir.

  • Low: Genel zararlı yazılım.
  • Medium: Gelişmiş kalıcı tehditler (APT)
  • High: APT’ler ve 0day saldırıları.

Analysis: Etkinliğin analizinin mevcut aşamasını belirtir. Seçenekler;

  • Initial: Analiz henüz başlıyor.
  • Ongoing: Analiz devam ediyor
  • Completed : Analiz tamamlandı

Event Info: Kötü amaçlı yazılımın / olayın dahili referansla başlayarak kısa bir açıklamasının yapıldığı alandır. Bu alan, mümkün olduğunca kısa ve öz olmalıdır.

Nitelik Eklemek

misp etkinlik oluşturmak

Category: Bu açılır menü, niteliğin kategorisini açıklar; bu niteliğin hangi açıklamasının tanımlandığını gösterir.

Type: Tür, kategorinin daha özel açıklamasıdır.

Distribution: Açılır liste ile bu niteliğin kimin görebileceğini kontrol etmemizi sağlar.

Contextual Comment: Özelliğe yorum eklenecek kısımdır.

Value: Niteliğin gerçek değeri, seçilen özellik türü için geçerli olan değere göre değer hakkında verilen kısımdır.

For Intrusion Detection System: Nitelik beyaz liste tarafından geçersiz sayılmadığı sürece , NDIS verilerini dışa aktarırken bir IDS imzası olarak kullanılmasına izin verir.

Batch import: Girilecek aynı türden birkaç özellik(IP adresleri listesi gibi) varsa, bunların tümünü her satırın arasındaki satır sonuyla ayrılmış olarak aynı değer alanına girmemize olanak tanır. Sistem, her bir özellik için ayrı satırlar oluşturur.

Paylaşım Grupları

misp paylaşım grupları

General: Paylaşım grubunun amacını açıklayan meta verilerin olduğu sekmedir.

  • Name: Paylaşım grubunun benzersiz ismin verildiği kısımdır.
  • Releasable to: İşaretlenen verilerin kiminle paylaşılavağının açıklamasıdır. Bu alan, paylaşım grubunun genişletici kuruluşlarına yönelik bilgilendirme alanı olmanın yanı sıra MISP tarafından müdahale edilmeyen bir alandır.
  • Description: Paylaşım grubunun amacının temsili metnidir.
  • Make the sharing group selec table (active): Bu ayarın işaretini kaldırılarak paylaşım grubu pasif hale getirilebilir. Tüm etkinlikler ve özellikler, pasif paylaşım grubunun dağıtım ayarına bağlı kalmaya devam edecektir. Ancak, paylaşım grubu, etkinliklerin / özellikler dağılımını ayarlarken seçilebilir bir seçenek olarak konulmayacaktır.

misp paylaşım grupları

Organisations: Bu sekme, doğrudan paylaşım grubunun üyesi olarak adlandırılan tüm kuruluşların dağıtım listesini içerir.

  • Add Local/remote organisations: Sekme local ve remote kuruluşlar için iki listeye bölünür. Remote organizasyonların aksine, local organizasyonların en az bir yerel kullanıcıya sahip olması beklenir. Henüz bilinmeyen bir kuruluştan yeni bir etkinlik alındığında remote kuruluşlar içerisinde oluşturacaktır. Remote kuruluşlar her zaman local kuruluşlara dönüştürülebilir
  • Extend checkmark: Genişletme onay işareti seçilen kuruluşun paylaşım grubunda bir genişletici olarak rol alıp almayacağının düzenlemek için kullanılır. Paylaşım grubunu yaratan organizasyon her zaman bir genişletici olarak dahil edilir.

misp paylaşım grupları

Servers: Bu sekmede , MISP örneklerini, belirtilen paylaşım grubu ile işaretlenmiş verilerin senkronize edilmesine izin verdiğine dair açıklama bulunur.

  • Enable roaming mode: Bu ayar, sunucu listesini devre dışı bırakır. Bir senkronizasyon bağlantısının ana organizasyonu kuruluşun dağıtım listesinde bulunuyorsa, örnek paylaşım grubu ile işaretlenmiş verileri senkronize etmek için uygun hale gelir.
  • Add instance: Senkronizasyon işlemleri altında kurulan senkronizasyon örneklerinden dağıtım listesine bir örnek ekleme işlemi yapar.
  • All orgs: Bu onay işaretinin kontrol edilmesi, söz konusu örnek üzerindeki tüm organizasyonları otomatik olarak paylaşım grubuna dahil edecektir. Bu, bağlantılı bir topluluğun tüm kullanıcılarıyla değişim yapmak için, örnekte yer alan her kuruluşu bilmesi gerekmediği anlamına gelir. Bu ayrıca dağıtım listesinin belirli gizlilik kurallarına duyarlı topluluklar için önemli bir anlam taşır.

misp paylaşım grupları

örnekte yer alan her kuruluşu bilmesi gerekmediği anlamına gelir. Bu ayrıca dağıtım listesinin belirli gizlilik kurallarına duyarlı topluluklar için önemli bir anlam taşır.

Summary: Her şey kurulduğunda, MISP, paylaşım grubunu vurgulanmış bir metin sayfasında özetleyecektir. Bu sekmenin gözden geçirilmesi tavsiye edilir. Paylaşım grubu ayarlarındaki hatalar; paylaşım grubunun erişim grubuna dahil edilmemesi gereken kuruluşlara veya paylaşım grubuna istenmeyen düzenleme hakları alan kuruluşlara yol açabilir.

Etkinliğe Bağlılık Eklemek

Kötü amaçlı yazılımın kendisi gibi ekleri, harici analizlerden rapor dosyalarını veya yalnızca kötü amaçlı yazılım tarafından atılan nesneleri de paylaşabiliriz. Karşımıza etkinliğe hızlıca bir dosya eklemenizi sağlayan bir form gelir. Doldurulması gereken alanlar;

misp add attachment

Category: Yüklenen dosyanın ne anlama geldiğini açıklar.

Distribution: Açılan liste ile, bu eki kimin görebileceğini kontrol etmenizi sağlar.

Upload field: Dosya sisteminize göz atabilir ve yükleyiciyi, özelliğe eklemek istediğimiz dosyaya yönlendirebiliriz.

Malware: Bu onay kutusu dosyayı kötü amaçlı yazılım olarak işaretler ve sistem kullanıcılarının yanlışlıkla dosyayı indirmesini ve çalıştırmasını engeller. Dosyalamadan önce dosyaya bulaştığından şüpheleniyorsanız bu seçeneği işaretlediğinizden emin olun.

Contextual Comment: Korelasyon için kullanılmayacak olan özelliklere bazı yorumlar ekleyebilir, onun haricinde yalnızca bir bilgilendirme alanı olarak kullanabiliriz.

Etkinliği Yayınlamak

Etkinlikle birlikte eklemek istediğiniz tüm nitelikler ve ekler yüklendikten / oluşturulduktan sonra, etkinliği yayınlayarak oluşturulmasını sonlandırabiliriz.

Geçmiş Etkinlikleri Listelemek

MISP arayüzü, kullanıcının sistemde halihazırda depolanmış olan olaylar ve özellikler hakkında genel bilgi sahibi olmasını veya arama yapabilmemizi sağlar.

Tüm Etkinlikleri Listelemek

Misp Etkinlikler

  • Published: Zaten yayınlanan etkinlikler onay işareti ile işaretlenir. Yayımlanmamış olaylar çarpı işareti ile işaretlenir.
  • Org: Etkinliği oluşturan kuruluş.
  • Owner Org: Etkinliğe sahip olan kuruluş. Bu alan sadece yöneticiler tarafından görülebilir.
  • ID: Olay ilk girildiğinde sistem tarafından atanan olayın ID numarası
  • Tags: Bu etkinliğe atanan etiketler.
  • #Attr: Etkinliğin sahip olduğu özelliklerin sayısı.
  • Email: Etkinliğin yayınlayanın e-posta adresi. Bu, normal kullanıcılar tarafından görülmez. Organizasyon yöneticileri kendi kuruluşlarının kullanıcılarının e-posta adreslerini görebilirler.
  • Date: Saldırının tarihi.
  • Threat Level: Saldırının risk seviyesi;
    Low: Genel Zararlı Yazılım
    Medium: Gelişmiş Kalıcı Tehditler (APT’ler)
    High: Gelişmiş APT’ler ve 0-day saldırıları
    Undefined: Bu alan tanımlanmamış bırakılabilir ve daha sonra düzenlenebilir.
  • Analysis: Etkinliğin analizinin mevcut aşamasını aşağıdaki olası seçeneklerle gösterir:
    Initial: Analiz başlangıç aşamasında
    Ongoing: Analiz devam ediyor
    Completed: Analiz tamamlandı
  • Info: Bir iç referans numarası ile başlayan olayın kısa bir tanımı.
  • Distribution: Bu alan, olayın paylaşım ayrıcalıklarını gösterir. Detaylar için etkinlik bölümündeki dağıtım bilgilerine bakabiliriz.
  • Actions: Kullanıcının olayı görüntülemesi veya üzerinde değişiklik yapabildiği yerdir.
    Publish: Sistem, yeni yayınlanan etkinliğimizin açıklamasını içeren otomatik uyarı özelliğini etkinleştiren tüm uygun kullanıcıları e-postayla gönderecektir.
    Edit: Düzenleme düğmesine tıklamak, tüm alanların düzenlenmiş olan olayın verileriyle doldurulması haricinde, yeni olaylar oluşturmak için kullanılanla aynı ekrana getirilir. Bir etkinliğin dağıtımı, yalnızca etkinliğin oluşturulma organizasyonunun kullanıcısıysanız düzenlenebilir.
    Delete: Silmek istediğimiz olayı buradan silebiliriz. Sistem silme işleminde önce uyarı penceresi gönderecektir.
    View: Etkinlik listesinde yer alan temel bilgileri içerir.

Olay Görünümü

Misp Test Event

Genel Olay Bilgisi:

  • ID: Etkinliğin kimlik numarası.
  • Uuid: Olaylar ve nitelikler arasındaki çarpışmaları önlemek için (örneğin bir senkronizasyon sorunu), her birini benzersiz olarak tanımlayan bir Uuid atanır.
  • Org: Etkinliği yaratan kuruluş ismi. Organizasyonu temsil eden logo (eğer sunucuda varsa) sağ üst köşede gösterilir.
  • Contributors: Etkinliğe katkıda bulunan kuruluşların isimlerini gösterir . Burada listelenen logolardan herhangi birini tıklarsanız, yalnızca kuruluşun yaptığı değişiklikler dahil olmak üzere filtrelenmiş bir etkinlik geçmişi görünümüne yönlendirilirsiniz.
  • Tags: Etkinlikle ilişkili etiketlerin listesi. Bir etikete tıkladığımızda, aynı etikete eklenmiş olan etkinliklerin bir listesini gösterir. Etiketin yanındaki küçük çapraz işareti, etiketi etkinlikten kaldırmanıza izin verirken, ‘+’ düğmesi bir etiket atmamıza izin verir.
  • Date: Olayı oluşturan kullanıcının belirlediği tarihtir.Olayın oluşturulma tarihi ile karıştırılmaması gerekir.Anı tarihleri göstermek zorunda değillerdir.
  • Threat Level: Etkinliğin atanmış tehdit seviyesi.
  • Analysis: Etkinliğin azaliz durumu.
  • Distribution: Bu etkinliği kimlerin görebileceğini gösterir
  • Info: Etkinliğin kısa bir açıklaması. İlişkilendirme amacıyla kullanılabilecek ve bir nitelik olarak daha uygun hale getirilebilecek bilgilerin buraya yazılmaması önerilir.
  • Published: Etkinliğin yayınlanıp yayınlanmadığını gösterir.

Nitelik Listelenmesi

  • Event: Bu, niteliğin bağlı olduğu etkinliğin kimlik numarasıdır. Bu etkinlik kendi organizasyonumuza aitse, alan kırmızı renkte olacaktır.
  • Org: Etkinliği oluşturan kuruluş.
  • Category: Niteliğin neyi açıkladığını gösteren kategoridir.
  • Type: Nitelikte bulunan değerin türünü gösterir (örneğin bir kaynak IP adresi). Türler hakkında daha fazla bilgi verir.
  • Value: Kötü amaçlı yazılımın kategori ve tür alanları tarafından tanımlanan bir yönü açıklayan niteliğin gerçek değeri (örneğin 111.111.111.111).
  • Comment: Niteliğe eklenmiş isteğe bağlı yorum.
  • IDS: Niteliğin NIDS imza üretimi için işaretlenip işaretlenmediğini gösterir .
  • Actions: Özniteliğin bağlı olduğu olayı görüntülemenizi, niteliği düzenlemenizi ve silmeyi sağlayan kısımdır.

Nitelik Aramak

Misp nitelik aramak

Bu sekme kategori ve türlere göre aramayı daraltmak için kullanılır. Tüm özelliklerin değerleri ile karşılaştırılacak bir veya birkaç arama dizesi girebileceğimiz bir form getirir. Girilen arama dizisi bir değerin alt dizesi ile tam eşleşmesi gerekmektedir.

Şablon Oluşturmak

Misp şablon oluşturmak

MISP kullanmaya yeni başlayan kullanıcılar elle nitelik ekleme kısmında zorluk yaşayabilirler. Şablonlar, kullanıcıların etkinlikleri doldurmak için basit formlar kullanmasına izin verir. MISP birkaç varsayılan şablon ile birlikte gelse bile kullanıcılara kendi şablonlarını oluşturma imkanı verir.

Doldurulması gereken alanlar;

  • Name: Şablonun adıdır.
  • Tags: Şablona etiket ekleyebilirsiniz. Şablon kullanılarak oluşturulan bir etkinlik etiketleri otomatik olarak alır. + işaretine tıklayarak yeni etiketler ekleyebilirsiniz.
  • Event Description: Bu şablonun hakkında kısa bir açıklamanın yapıldığı yerdir.
  • Share this template with others: Şablon, örnekte bulunan herhangi bir kuruluş tarafından veya yalnızca onu oluşturan tarafından kullanılabilir olacak şekilde ayarlanabilir.

Tip Seçimi – ATTRİBUTE

misp attribute eklemek

Doldurulması zorunlu olan alanlar;

  • Name: Nitelik şablonuna verilecek ismin girileceği yerdir.
  • Description: Örğenin kısa bir açıklaması. Yeterli bilgi sağlanmasına dikkat edilmeli
  • Category: Bu şablon öğesi kullanılarak oluşturulan herhangi bir özellik için kullanılan kategori.
  • Type: Tür, kategorinin daha özel açıklamasıdır.
  • Automatically mark for IDS: Bu alan işaretlenirse öğeyi oluşturan özellikler IDS ile dışa aktarılır.
  • Mandatory element: Zorunlu elementler eklenir.
  • Batch import element: Satır sonları ile ayrılmış birden çok değer girilmesine izin verilir.

Tip Seçimi – File

misp add element to file

Doldurulması zorunlu olan alanlar;

  • Name: Dosya şablonuna verilecek ismin girileceği yerdir.
  • Description: Öğenin kısa bir açıklaması. Yeterli bilgi sağlanmasına dikkat edilmeli
  • Category: Bu şablon öğesi kullanılarak oluşturulan herhangi bir özellik için kullanılan kategori.
  • Malware: Yüklenen dosya zararlı yazılım ise ve bir parola ile korunuyorsa bu alan işaretlenmelidir.
  • Mandatory element: Zorunlu elementler eklenir.
  • Batch import element: Satır sonları ile ayrılmış birden çok değer girilmesine izin verilir.

Tip Seçimi – TEXT

add text element misp

Doldurulması zorunlu olan alanlar;

  • Name: Metin dosyası şablonuna verilecek ismin girileceği yerdir.
  • Text: Text alanıdır.

Verileri Dışarı Aktarmak

misp export data

Arka Planda Çalışan İşlemleri Engelleyerek Aktarım Yapmak

Bu sekme bir dosya olarak indirebileceğiniz dışa aktarma formatlarını listeler. İstediğiniz dışa aktarma formatını tıklamanız yeterlidir. Bu süreç biraz uzun sürebilir.

Arka Planda Çalışan İşlemler Etkin Durumdayken Aktarım Yapmak

Arka plandaki işlemler etkinse, dışa aktarma sayfasının farklı bir görünümüne yönlendirilirsiniz. Burada, tüm büyük dışa aktarma formatlarını ve önbelleğe alınmış dışa aktarma dosyalarının mevcut durumunu içeren bir tablo göreceksiniz. İstediğiniz dışa aktarma türü için “Generate” düğmesine tıklayabilirsiniz. Bu işlem arka planda çalışan işlemleri ön belleğinize getirmeye ve birleştirmeye başlar.Tamamlandığında, yeni oluşturulan önbellek dosyasını indirmek için “Download” butonuna tıklayabilirsiniz.Önbellek önceden güncellenmiş ise, önbelleği yenilemeniz gerekmez. sadece “Download” ‘a tıklamak yeterlidir

  • Type: Dışa aktarma türünü gösterir (XML, Suricata, MD5 gibi).
  • Last Update: Verilen dışa aktarma türü için geçerli önbelleğin son oluşturulma tarihi.
  • Description: Dışa aktarma formatının açıklaması.
  • Outdated: Bu gösterge, bir olay güncellendiğinde önbellek oluşturma tarihini son zaman damgasıyla karşılaştırır ve önbelleğin güncel olup olmadığını göstermeyi sağlar.
  • Progress: Son başlatılan üretim sürecinin ilerlemesini gösterir.
  • Actions: Çalışır durumdakiler

Arama Sonuçlarını ve Kişisel Etkinlikleri Aktarmak

misp search attributes

Dışa aktarma sayfalarının sunduğu seçeneklerin yanı sıra, sol menü çubuğundaki “Sonuçları XML olarak indir” düğmesini kullanarak, arama özelliği sonuç tablosunda yer alan tüm etkinlikleri dışa aktarmak da mümkündür.

Diğer Olaylarla Bağlantı Kurmak

Başka Bir Sunucuyla Bağlantı kurmak

  • Base URL: Uzak sunucunun URL’sinin girilmesi gereken kısım.
  • Organization: Uzak sunucuyu çalıştıran kuruluşun ismi.
  • Authkey: Uzak örneğin barındırma kuruluşundan aldığınız kimlik doğrulama anahtarı.
  • Push: Anlık bildirim
  • Pull: Anlık anket
  • Self Signed: Bu onay kutusunu işaretlemek, kendinden imzalı sertifikalara senkronizasyona izni verir.
  • Certificate File: Sertifika dosyası

Kurulu Bir Sunucu ile Bağlantı Kurmak ve İncelemek

  • Editing the connection to the:
  • Deleting the connection to the instance: Olayla olan bağlantıyı siler.
  • Push all:
  • Pull all:

Misp Veri Modelleri

MISP sadece bir yazılım değil, aynı zamanda MISP topluluğu tarafından oluşturulan bir dizi veri modelidir. MISP, JSON içinde ifade edilen, MISP yazılımı veya herhangi bir başka yazılım ile kullanılabilecek basit ve pratik bir bilgi paylaşım formatı içerir.

Misp Nesneleri

MISP nesneleri, MISP veya diğer bilgi paylaşım platformlarının kullanıcıları tarafından sağlanan dinamik olarak kullanılan nesnelerdir. Amaç, MISP gibi işlevsel dağıtılmış paylaşım sistemlerinde nesnelerin tanımının dinamik olarak güncellenmesine izin vermektir. MISP nesneler modeli, MISP’in ya da onu kullanan diğer tehdit paylaşım platformunun altta yatan kod tabanını değiştirmeden, kullanımlarına dayalı yeni birleşik göstergeler formatı eklemeyi sağlar.  Nesnelerin tanımı daha sonra göstergelerin kendisiyle birlikte yayılabilir.

Bir MISP nesnesi JSON dosyasında aşağıdaki bilgileri içerir:

  • Name: Nesnen adıdır.
  • Meta-category: Nesnenin bulunduğu kategoridir. (file, network, financial, misc, internal)
  • Description: Nesne açıklamasının bir özetidir.
  • Version: Ondalık değer olarak sürüm numarasıdır.
  • Required: Nesneyi tanımlamak için gerekli minimum öznitelikleri içeren bir dizidir.
  • RequiredOneOf: Nesneyi tanımlamak için en az birinin bulunması gereken nitelikleri içeren bir dizidir.
  • Attributes: Nesneyi oluşturan tüm özniteliklerin listelendiği başka bir JSON nesnesini içerir.

Misp Galaksisi

MISP Galaxy, MISP olaylarına veya öz niteliklerine eklenebilen küme adı verilen büyük bir nesneyi ifade etmenin basit bir yöntemidir. Bir küme, bir veya daha fazla elemandan oluşabilir. Öğeler anahtar / değer çifti olarak ifade edilir. MISP galaksisinde mevcut varsayılan kelime hazneleri vardır, ancak bunların üzerine yazılabilir, değiştirilebilir veya güncellenebilir. Mevcut kümeler ve kelimeler, olduğu gibi ya da bir şablon olarak kullanılabilir. Sınırlı veya daha geniş bir dağıtım şemasına izin vermek için her kümeye MISP dağıtımı uygulanabilir. Galaxy, web sitesi üzerinden taranabilir, PDF olarak veya doğrudan MISP yazılımı aracılığıyla indirilebilir.

Misp Taksonomisi

MISP taksonomileri, bir dizi önceden tanımlanmış sınıflandırma modelleme tahmini dilini, CSIRTs/CERTs sınıflandırmalarını, ulusal sınıflandırmaları veya tehdit modeli sınıflandırmasını sağlar. Sabit taksonomiler, taksonomilerin bir kurumun veya belirli bir paylaşım topluluğunun yerel gereksinimlerini karşılamak için genişletilebilen bir dizi MISP örneğinde etkin olayları ve nitelikleri etiketlemek için pratik bir yöntem sağlar. MISP taksonomileri topluluk uygulamalarına dayanarak serbestçe kullanılabilir.

Misp Çekirdek Formatı

MISP çekirdek formatı, MISP tarafından kullanılan basit bir JSON formatı ve olayları ve nitelikleri değiştirmek için kullanılan diğer araçlardır. JSON şeması 2.4 MISP çekirdek yazılımı üzerinde açıklanmıştır ve birçok örnek dosya OSINT beslemede mevcuttur.

MISP formatı misp-rfc’de Internet-Taslak olarak tanımlanmıştır. MISP çekirdek formatı, MISP formatını destekleyen (ithalat veya ihracat olarak) kendi aracını oluşturmak isteyen geliştirici veya organizasyonları desteklemek için tanımlanmıştır. Standart, pratik kullanım durumlarından ve MISP projesi içerisindeki uygulama referanslarından oluşturulmuştur. Standart MISP uygulamasının ardından hızla gelişmektedir.

Desteklediği Standartlar

MISP projesi farklı coğrafi bölgelerde ve farklı faaliyet sektörlerinde (siber güvenlik, istihbarat toplulukları, kolluk kuvvetleri ve STK’lar) kullanıldığı için projenin içerisinde yer alan yazılım, belge veya kütüphaneleri kullanırken uyumluluğu sağlamak için bir dizi yasal politika ve analiz mevcuttur.

GDPR – General Data Protection Regulation (Genel Veri Koruma Yönetmeliği)

  • GDPR, kişisel verilerin işlenmesi ve paylaşılması ile kişisel verilerin işlenmesine ilişkin gerçek kişilerin korunması için açık kurallar ve şartlar belirleyerek yasal belirsizliği azaltmayı ve yorumları sınırlamayı amaçlamaktadır.
  • GDPR, veri işlemcilerinin ve veri denetleyicilerinin rollerini ve yükümlülüklerini ayırt eder, kişisel verilerin kesin tanımlarını sağlar ve bilginin paylaşılabileceği koşulları belirler.
  • Avrupa Birliği içerisindeki insanlara veya kuruluşlar nerede olduğuna bakılmaksızın kurallara tabidirler.
  • GDPR’ nin son sürümü (1.1), 30 Ocak 2018 Salı günü yayınlanmıştır.

ISO/IEC 27010:2015 – Sektörler arası ve kurumlar arası iletişim için bilgi güvenliği yönetimi

Siber tehdit istihbaratı bilgi paylaşımı toplulukları içinde bilgi güvenliği yönetiminin uygulanması için ISO / IEC 27000 standartlar ailesinde verilen kılavuza ek olarak kılavuz bilgiler sunmaktadır.

  • Bu Uluslararası Standart, kurumlar ve sektörler arası iletişimde bilgi güvenliğini başlatmak, uygulamak, sürdürmek ve iyileştirmek için özel olarak kontrol ve rehberlik sağlar.
  • Belirlenen gereksinimlerin yerleşik mesajlaşma ve diğer teknik yöntemler kullanılarak nasıl karşılaşılabileceğine dair kurallar belirler.
  • Hassas bilgi alışverişi ve paylaşımı sırasında güven oluşturulmasını desteklemek için tasarlanmıştır, böylelikle bilgi paylaşımı topluluklarının uluslararası büyümesini teşvik eder.
  • IEC 27010: 2015’in son sürümü (1.0) 20 Mart 2018 Salı günü yayınlanmıştır.

Sonuç

Birçok açık kaynak ve tescilli araç kendisini genişletmek için MISP desteğini (MISP formatı veya API) entegre eder. Birçok yazılım MISP projesi tarafından desteklenmekte ve işlenmektedir. MISP projesi tarafından desteklenen ek yazılımların, toplumun günlük operasyonlarını desteklemek için ek araçlara güvenmesi sağlanır. Amaç MISP çekirdek yazılımına daha sonra entegre edilebilecek yeni fikirleri, kavramları ve ya işlevsellikleri araştırmaktır.

Yazar: Gurbet Başakçi

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.