怎樣實時查看MISP實例的威脅情報信息

這篇文章將為大家詳細講解有關怎樣實時查看MISP實例的威脅情報信息，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

下面將會給大家介紹如何利用Misp-Dashboard實時查看來自MISP實例的威脅情報信息。Misp-Dashboard可以幫助研究人員實時查看MISP實例（ZMQ Feeds）傳遞的數據和統計結果。Misp-Dashboard是一款儀表盤工具，它可以作為一款威脅情報實時感知工具來使用，該工具繼承了Gamification工具來顯示每一個組織的貢獻度以及實時排名，儀表盤內容還可以給安全操作中心（SOC）、安全研究團隊或網絡安全測試人員提供威脅追蹤服務。

功能介紹

實時信息儀表盤

1、可訂閱來自不同MISP實例的多個ZMQ feeds；

2、可查看不同組織的實時貢獻度；

3、顯示實時可解析的威脅情報發布地理位置；

地理定位儀表盤

1、提供歷史地理位置信息，以支持安全團隊、CSIRT或SOC在其選區內發現威脅；

2、從特定區域獲取地理位置信息；

貢獻度儀表盤（集成Gamification）

1、所有組織的月貢獻度；

2、最新貢獻的組織（動態更新）；

3、所有組織的貢獻等級；

4、每一個組織的貢獻類別；

5、選中組織的當前排名（動態更新）；

用戶儀表盤

1、顯示平臺使用時間和使用方式；

2、登錄和貢獻時間；

趨勢儀表盤

1、提供實時信息以支持安全團隊、CSIRT或SOC發現威脅和惡意活動；

2、顯示更多的活動事件、分類和標簽；

3、顯示討論信息；

工具安裝

注意：該工具目前只支持在類Unix操作系統平臺上運行，比如說Linux等等。

首先，使用下列命令將項目源碼克隆至本地：

git clone https://github.com/MISP/misp-dashboard.git

然后切換到本地項目目錄中，運行下列命令：

./install_dependencies.sh

更新配置文件config.cfg，并匹配用戶本地系統，此時需要修改的參數如下：

edisGlobal -> hostRedisGlobal -> portRedisGlobal -> zmq_urlRedisGlobal -> misp_web_urlRedisMap -> pathMaxMindDB

工具更新

重新運行install_dependencies.sh腳本來獲取新的依賴組件：

./install_dependencies.sh

對比config.cfg.default文件中的修改項，然后重新更新你的配置文件config.cfg。

請確保當前沒有zmq Python3腳本正在運行，因為該腳本會阻止項目更新：

+ virtualenv -p python3 DASHENVAlready using interpreter /usr/bin/python3Using base prefix '/usr'New python executable in /home/steve/code/misp-dashboard/DASHENV/bin/python3Traceback (most recent call last):  File "/usr/bin/virtualenv", line 9, in <module>    load_entry_point('virtualenv==15.0.1', 'console_scripts', 'virtualenv')()  File "/usr/lib/python3/dist-packages/virtualenv.py", line 719, in main    symlink=options.symlink)  File "/usr/lib/python3/dist-packages/virtualenv.py", line 942, in create_environment    site_packages=site_packages, clear=clear, symlink=symlink))  File "/usr/lib/python3/dist-packages/virtualenv.py", line 1261, in install_python    shutil.copyfile(executable, py_executable)  File "/usr/lib/python3.5/shutil.py", line 115, in copyfile    with open(dst, 'wb') as fdst:OSError: [Errno 26] Text file busy: '/home/steve/code/misp-dashboard/DASHENV/bin/python3'

接下來，運行下列命令重啟系統：

./start_all.sh

或

./start_zmq.sh./server.py &

啟動系統

注意：Misp-Dashboard僅需常規權限即可運行，無需使用root權限。

確保本地已運行了Redis服務器：

redis-server --port 6250

激活你的Virtualenv環境：

. ./DASHENV/bin/activate

啟用zmq_subscriber來監聽MISP feed：

./zmq_subscriber.py &

開啟調度程序來處理接收到的信息：

./zmq_dispatcher.py &

開啟Flask服務器：

./server.py &

訪問接口：

http://localhost:8001/

或者，你也可以直接運行start_all.sh腳本來自動運行上述所有命令。

身份認證

我們可以在config/config.cfg文件中設置“auth_enabled = True”來啟用身份認證功能。

zmq_subscriber選項

A zmq subscriber. It subscribe to a ZMQ then redispatch it to the MISP-dashboardoptional arguments:  -h, --help            show this help message and exit  -n ZMQNAME, --name ZMQNAME                        The ZMQ feed name  -u ZMQURL, --url ZMQURL                        The URL to connect to

使用mod_wsgi在產品中完成部署

安裝Apache mod-wsgi（Python 3）：

sudo apt-get install libapache2-mod-wsgi-py3

如果你安裝了Python2版本的mod_wsgi，那么舊版本的將會被替換：

The following packages will be REMOVED:  libapache2-mod-wsgiThe following NEW packages will be installed:  libapache2-mod-wsgi-py3

接下來，配置項目文件夾權限和文件（“/etc/apache2/sites-available/misp-dashboard.conf”）：

<VirtualHost *:8001>    ServerAdmin admin@misp.local    ServerName misp.local    DocumentRoot /var/www/misp-dashboard    WSGIDaemonProcess misp-dashboard \       user=misp group=misp \       python-home=/var/www/misp-dashboard/DASHENV \       processes=1 \       threads=15 \       maximum-requests=5000 \       listen-backlog=100 \       queue-timeout=45 \       socket-timeout=60 \       connect-timeout=15 \       request-timeout=60 \       inactivity-timeout=0 \       deadlock-timeout=60 \       graceful-timeout=15 \       eviction-timeout=0 \       shutdown-timeout=5 \       send-buffer-size=0 \       receive-buffer-size=0 \       header-buffer-size=0 \       response-buffer-size=0 \       server-metrics=Off    WSGIScriptAlias / /var/www/misp-dashboard/misp-dashboard.wsgi    <Directory /var/www/misp-dashboard>        WSGIProcessGroup misp-dashboard        WSGIApplicationGroup %{GLOBAL}        Require all granted    </Directory>    LogLevel info    ErrorLog /var/log/apache2/misp-dashboard.local_error.log    CustomLog /var/log/apache2/misp-dashboard.local_access.log combined    ServerSignature Off</VirtualHost>

關于怎樣實時查看MISP實例的威脅情報信息就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。