Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

MISP är en platform för att dela säkerhetsrelaterad information (så som t.ex. IOCer) på ett strukturerar sätt för att underlätta import/export av data för automation. Det förenklar import & export av datat, som i sin tur underlättar automation baserat på datat.

SUNET har ordnat en MISP-instans under som ligger under SUNET CERT, som alla SUNET-anslutna organisationen kan få access till samt ansluta sin lokala MISP-instans samt.

MISP användarpolicy

Åtkomst

För att kunna nyttja MISP-tjänsten bör måste man vara SWAMID-medlem och ha en egen IdP (det är endast federerad inloggning till som stöds av SUNETs MISP-instanseninstans).

För att få sitt SAML-inloggningskonto konto aktiverat i MISP-instansen måsta man först logga in en gång säkra att användarens IdP släpper eppn-attributet till MISP-SPn.  Efter det kan användaren göra en första inloggning mot MISP-SPn (via https://misp.cert.sunet.se) och sedan meddela pettai ert EPPN (format: uid@realm), så kontot kan aktiveras.

MISP workshop

sin lokala IRT-ansvarige, så att hen kan aktivera kontot i MISP:en. (Tills kontot inte aktiverats så kommer du få ett felmeddelande likt "för många redirects gjordes..." (pga att man inte släpps in av MISP:en))

Vilken säkerhetsrelaterad information efterfrågas i första hand av CERT/CSIRT/IRT-grupperna?

  • Information kring phishing-försök, (t.ex. URL:er, domännamn, epost-avsändare, osv.)
  • Malware data (t.ex. C&C servrars IP-adresser, hashar osv.)
  • Källor som gör intrångsförsök (t.ex. IP-adresser)

Vilken information bör man dela med sig av?

  • En upprepning av svaren i föregående fråga

Hur bör datat man delar med sig av struktureras upp?

  • För att andra enklare ska kunna använda sig av datat som man delar med sig av, krävs åtminstone viss klassifiering:
    1. Informationsäkerhetsklassning: TLP (t.ex. "TLP:white")
    2. Händelsetyp: ENISA RTIS (t.ex. "Malicious Code")
    3. Tillitsfaktor på datat (gruppindelning inte beslutad, förslag?)
      Tills detta inte är beslutat, föreslås att endast händelser med data av högsta tillitsfaktor bör läggas in och även sätta IDS-flaggan så andra kan använda det för automatisering.

Tidigare MISP workshop

2019 Tidigare i år så hade SUNET tillsammans med CIRCL anordnat en workshop kring MISP. Allt material det materialet finns publiserat här.