Manual de eventos a plataforma MISP

Añadir un nuevo evento en M.I.S.P.

Para este ejemplo se tomara una campaña de phishing que distribuye malware a través de adjuntos en los correos electrónicos.

• Navegar a la sección de eventos e ingresar a Event Actions y Add event.

Creación del evento.

• Event info. contiene el resumen de la descripción del evento.
• Threat level. Define el nivel de amenaza del evento como Medio.
• Analysis. Define el evento en Ongoing ó en curso

Asignación de Tags

• TLP se clasifica como "green" debido a que el público objetivo de la información es grande y se necesita compartir la información con toda la cantidad de personas posibles para realizar la prevención.
• Se indica que es una detección de analista de tipo "mail" ó correo.
• Se clasifica de acuerdo a la taxonomía de CIRCL como "malware" y campaña de "phishing".

Para la asignación de atributos en este caso se agruparán por objetos por que tenemos tanto el cuerpo del correo con el adjunto como el archivo.

Objetos.

Para crear los objetos nos dirigimos al menú de la derecha y seleccionamos la opción Add Object.

El primer objeto en ser añadido es el correo electrónico.

• Los datos relevantes de esta etapa son los que contiene el correo electrónico recibido con el phishing.

• Con los datos del correo recibido podemos agregar estos atributos a nuestro objeto:

El segundo objeto importante a ser analizado es el archivo adjunto que contiene el malware que se debe analizar en opciones de seguridad como virus total, any run, hybrid sandbox, etc.

• Los datos que se pueden extraer del segundo objeto son:

• Una vez agregados los objetos dentro del listado de atributos se verán de la siguiente manera.

Event Reports

• Para agregar el contexto de las acciones que realiza el malware complementando la información del evento creamos un Event Report.

• Es posible generar un reporte desde las opciones de la plataforma por lo que hacemos una prueba en Generate Report From Event.

• Al realizar click en cualquiera de los objetos se tendrá como resultado los atributos que lo componen.

Publicar evento.

• Por último para cambiar el estado del evento a publicado se debe realizar la siguiente acción:

Con publish (no email) se realiza la publicación dentro de la plataforma sin enviar correo electrónico a los usuarios de la misma, si se requiere el envío de correos se debe seleccionar la opción Publish Event, después de seleccionar cualquiera de las 2 opciones el estado del evento cambia a published "yes".

Con la recepción contínua de eventos hacia la plataforma MISP y el almacenamiento ocupado en disco se requerirá periódicamente eliminar ciertos elementos antiguos, para este propósito se ingresa a la base de datos para eliminarlos desde ese lugar.

docker exec -it misp-docker-db-1 bash

Dentro de la instancia de base de datos se realizan los siguientes comandos:

USE misp;
DELETE FROM events WHERE date < '2020-01-01';
DELETE FROM attributes WHERE event_id NOT IN (SELECT id FROM events);
DELETE FROM objects WHERE event_id NOT IN (SELECT id FROM events);
DELETE FROM event_tags WHERE event_id NOT IN (SELECT id FROM events);

Reiniciar los servicios de Docker Compose

docker-compose up -d

SELECT * FROM attributes WHERE event_id NOT IN (SELECT id FROM events);
SELECT * FROM objects WHERE event_id NOT IN (SELECT id FROM events);
SELECT * FROM event_tags WHERE event_id NOT IN (SELECT id FROM events);

Detener los servicios de Docker Compose
Una vez que estés seguro de que la base de datos está en un estado consistente, puedes detener los servicios de Docker Compose:

docker-compose down

Reiniciar los servicios de Docker Compose
Después de detener los servicios, puedes volver a lanzarlos:

docker-compose up -d