La gestion efficace des menaces informatiques est un défi de taille.
Sans une solution standardisée, les informations sur les menaces restent souvent sous-utilisées, exposant les systèmes à des risques accrus.
Cet article explore comment déployer MISP, une plateforme open source, pour simplifier le processus de gestion des menaces.
Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.
Déployer MISP sur Machine Virtuelle
Recueillir et utiliser des informations sur les menaces informatiques est complexe. Standardiser et partager ces données est encore plus ardu. MISP, une plateforme open source de renseignements sur les menaces, simplifie ces processus essentiels.
Voici l’interface du site officiel du MISP
Nous allons télécharger notre plateforme MISP sous forme de machine virtuelle.
On va donc récupérer la dernière version et cliquer sur le bouton de téléchargement.
Vous pouvez choisir le format zip pour VMware, ou sélectionner la version correspondante si vous utilisez VirtualBox.
Ensuite, je vais diriger vers VMware pour ouvrir notre machine virtuelle.
On clique sur ‘Open à Virtual Machine’.
Dirigez-vous vers l’emplacement où vous avez placé la machine virtuelle que vous avez téléchargée, puis cliquez sur ‘Ouvrir’.
Nous allons donc démarrer notre machine en cliquant sur ‘Power’.
Après cela, nous allons voir une interface comme illustrée ci-dessus, qui contient des informations sur la machine ainsi que le login et le mot de passe.
On se dirige vers notre moteur de recherche, par exemple Chrome, et on tape notre adresse de connexion avec le numéro de port qui est déjà affiché lors du démarrage de notre machine. Ensuite, on clique sur « Paramètres avancés » puis on continue vers ce site.
Alors voici l’interface de login où l’on doit saisir le login et le mot de passe qui sont déjà affichés lors du démarrage de la machine.
Après cela, vous aurez l’interface de la plateforme MISP comme illustré ci-dessus, qui va demander de changer le mot de passe.
Vous pouvez également voir des informations sur votre profil.
On se dirige vers l’accueil et on consulte tous les événements passés.
Maintenant, pour pouvoir récupérer des événements, on se rend vers les actions synchronisées et on clique sur « Liste des flux ». On pourra alors voir les listes de flux disponibles.
On va pouvoir activer ces sources d’informations en sélectionnant les deux flux, puis en cliquant sur « Activer la sélection » (ou « Enable selected »).
Nous allons vers les jobs où nous verrons un job avec la date de création ainsi qu’un identifiant de processus (process ID) et d’autres informations.
On peut également visualiser la liste des événements pour voir les événements, comme illustré ci-dessus.
On a aussi la possibilité d’ajouter d’autres événements en cliquant sur « Ajouter » et en remplissant toutes les informations telles que la date, la distribution, l’analyste et d’autres informations sur l’événement.
Nous avons créé un événement nommé « Analyst SOC » en ajoutant la date et toutes les informations nécessaires.
Nous allons sur « View Event » pour voir notre événement « Analyst SOC », comme illustré ci-dessus. On peut voir assez d’informations sur cet événement.
On va donc ajouter un attribut en cliquant sur le symbole « + » (plus).
Nous ajoutons des informations sur l’attribut telles que la catégorie, le type et d’autres informations, comme vous pouvez le voir.
Et on peut ajouter une liste IOC en cliquant sur la troisième icône située en haut de l’onglet « Organisation ». On peut donc ajouter des adresses IP ou des hachages, puis on clique sur « Submit ».
Il va alors nous donner des mappages sur les adresses IP, et on clique sur « Submit Attributes ».
Nous afficher une liste sur les IOC avec toutes les informations les concernant.
On peut aussi voir une vue plus intéressante sous forme de graphe, comme vous pouvez le voir ici.
C’est plutôt pertinent. Avec le changements d’IOC, on peut voir plusieurs informations affichées.
On peut également voir la taille de la ligne et voir le premier IOC là.
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.
FAQ
Comment installer MISP sur une machine virtuelle ?
Quels formats sont disponibles pour télécharger MISP ?
Comment accéder à l'interface de connexion MISP ?
Comment gérer les événements dans MISP ?
Comment activer et gérer les flux d'information dans MISP ?
Conclusion
En explorant les fonctionnalités de MISP, comment envisagez-vous d’améliorer la sécurité de vos systèmes face aux menaces informatiques ?