Cybersécurité

Déployer la plateforme MISP efficacement

L'Équipe Alphorm Par L'Équipe Alphorm

La gestion efficace des menaces informatiques est un défi de taille.

Sans une solution standardisée, les informations sur les menaces restent souvent sous-utilisées, exposant les systèmes à des risques accrus.

Cet article explore comment déployer MISP, une plateforme open source, pour simplifier le processus de gestion des menaces.

Table de matière
Déployer MISP sur Machine VirtuelleFAQConclusion

Formation Techniques de Blue Teaming (1/2) : L'essentiel pour l'Analyste SOC

Acquérez les compétences clés pour défendre votre organisation contre les cybermenaces.

Découvrir cette formation

Déployer MISP sur Machine Virtuelle

Recueillir et utiliser des informations sur les menaces informatiques est complexe. Standardiser et partager ces données est encore plus ardu. MISP, une plateforme open source de renseignements sur les menaces, simplifie ces processus essentiels.

Voici l’interface du site officiel du MISP

Interface de visualisation MISP avec tableaux

Nous allons télécharger notre plateforme MISP sous forme de machine virtuelle.

Page du site MISP pour déployer et tester MISP

On va donc récupérer la dernière version et cliquer sur le bouton de téléchargement.

Liste des images virtuelles sur vm.misp-project.org

Vous pouvez choisir le format zip pour VMware, ou sélectionner la version correspondante si vous utilisez VirtualBox.

Page d'index des fichiers MISP pour déploiement

Ensuite, je vais diriger vers VMware pour ouvrir notre machine virtuelle.

On clique sur ‘Open à Virtual Machine’.

Interface VMware Workstation 16 Pro

Dirigez-vous vers l’emplacement où vous avez placé la machine virtuelle que vous avez téléchargée, puis cliquez sur ‘Ouvrir’.

Fenêtre d'ouverture VMware montrant MISP

Nous allons donc démarrer notre machine en cliquant sur ‘Power’.

Configuration VM MISP version 2.4.141

Après cela, nous allons voir une interface comme illustrée ci-dessus, qui contient des informations sur la machine ainsi que le login et le mot de passe.

Écran d'accueil MISP pour VM Ubuntu

On se dirige vers notre moteur de recherche, par exemple Chrome, et on tape notre adresse de connexion avec le numéro de port qui est déjà affiché lors du démarrage de notre machine. Ensuite, on clique sur « Paramètres avancés » puis on continue vers ce site.

Alerte de sécurité connexion non privée MISP

Alors voici l’interface de login où l’on doit saisir le login et le mot de passe qui sont déjà affichés lors du démarrage de la machine.

Interface de connexion MISP, déploiement initial

Après cela, vous aurez l’interface de la plateforme MISP comme illustré ci-dessus, qui va demander de changer le mot de passe.

Page de modification du mot de passe MISP

Vous pouvez également voir des informations sur votre profil.

Profil utilisateur MISP admin pour configuration

On se dirige vers l’accueil et on consulte tous les événements passés.

Capture d'écran de l'interface MISP

Maintenant, pour pouvoir récupérer des événements, on se rend vers les actions synchronisées et on clique sur « Liste des flux ». On pourra alors voir les listes de flux disponibles.

Interface de gestion des flux MISP

On va pouvoir activer ces sources d’informations en sélectionnant les deux flux, puis en cliquant sur « Activer la sélection » (ou « Enable selected »).

Interface MISP affichant les paramètres des flux

Nous allons vers les jobs où nous verrons un job avec la date de création ainsi qu’un identifiant de processus (process ID) et d’autres informations.

Capture d'écran de l'interface jobs MISP

On peut également visualiser la liste des événements pour voir les événements, comme illustré ci-dessus.

Capture de l'interface liste événements MISP

On a aussi la possibilité d’ajouter d’autres événements en cliquant sur « Ajouter » et en remplissant toutes les informations telles que la date, la distribution, l’analyste et d’autres informations sur l’événement.

Nous avons créé un événement nommé « Analyst SOC » en ajoutant la date et toutes les informations nécessaires.

Capture de l'interface MISP ajout événement

Nous allons sur « View Event » pour voir notre événement « Analyst SOC », comme illustré ci-dessus. On peut voir assez d’informations sur cet événement.

Interface de gestion des événements MISP

On va donc ajouter un attribut en cliquant sur le symbole « + » (plus).

Capture d'écran MISP avec avertissement d'attribut

Nous ajoutons des informations sur l’attribut telles que la catégorie, le type et d’autres informations, comme vous pouvez le voir.

Fenêtre MISP pour ajouter un attribut réseau

Et on peut ajouter une liste IOC en cliquant sur la troisième icône située en haut de l’onglet « Organisation ». On peut donc ajouter des adresses IP ou des hachages, puis on clique sur « Submit ».

Interface MISP montrant l'outil Freetext Import.

Il va alors nous donner des mappages sur les adresses IP, et on clique sur « Submit Attributes ».

Capture d'écran de l'importation MISP

Nous afficher une liste sur les IOC avec toutes les informations les concernant.

Capture écran MISP affichant des événements réseau

On peut aussi voir une vue plus intéressante sous forme de graphe, comme vous pouvez le voir ici.

Capture de l'interface MISP lors du déploiement

C’est plutôt pertinent. Avec le changements d’IOC, on peut voir plusieurs informations affichées.

Interface graphique de MISP avec IP illustrée.

On peut également voir la taille de la ligne et voir le premier IOC là.

Graphique MISP montrant plusieurs adresses IP

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Comment installer MISP sur une machine virtuelle ?
Pour installer MISP sur une machine virtuelle, commencez par télécharger la dernière version de MISP en format zip pour VMware ou VirtualBox. Ensuite, ouvrez votre logiciel de virtualisation et sélectionnez ‘Open a Virtual Machine’, puis dirigez-vous vers l’emplacement du fichier téléchargé. Après l’ouverture, démarrez la machine en cliquant sur ‘Power’. Vous pourrez ensuite accéder à l’interface de MISP pour commencer à configurer votre plateforme de renseignements sur les menaces.
MISP est disponible au téléchargement en différents formats selon le logiciel de virtualisation utilisé. Pour VMware, vous pouvez choisir le format zip. Si vous utilisez VirtualBox, sélectionnez la version correspondante. Cela vous permet de déployer la plateforme MISP de manière adaptée à votre environnement de virtualisation, facilitant ainsi l’installation et la gestion des menaces informatiques.
Pour accéder à l’interface de connexion MISP, ouvrez votre navigateur et saisissez l’adresse de connexion accompagnée du numéro de port affiché lors du démarrage de votre machine virtuelle. Cliquez sur ‘Paramètres avancés’, puis continuez vers le site. Vous arriverez sur la page de login où vous pourrez entrer les identifiants fournis au lancement de la machine. Vous accéderez alors à l’interface de MISP pour gérer les renseignements sur les menaces.
La gestion des événements dans MISP commence par se rendre dans la section dédiée aux événements. Vous pouvez consulter la liste des événements existants, ajouter de nouveaux événements ou activer des flux d’information. Pour ajouter un événement, cliquez sur ‘Ajouter’ et remplissez les informations requises comme la date, la distribution et l’analyste. Vous pouvez également enrichir chaque événement en ajoutant des attributs et des informations sur les IOC (Indicators of Compromise).
Pour activer et gérer les flux d’information dans MISP, accédez à la section ‘Liste des flux’. Sélectionnez les flux que vous souhaitez activer et cliquez sur ‘Activer la sélection’. Cela vous permet de synchroniser les informations sur les menaces et de les intégrer dans votre plateforme MISP pour une gestion plus efficace des menaces. Les informations des flux activés seront visibles dans la liste des événements.

Conclusion

En explorant les fonctionnalités de MISP, comment envisagez-vous d’améliorer la sécurité de vos systèmes face aux menaces informatiques ?

ÉTIQUETÉ : SOC (Security Operations Center)
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire