Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Software MISP
CONTENIDO
IDENTIFICACIÓN DE ROLES
TRABAJOS
TAREAS PROGRAMADAS
CREACION DE EVENTOS
IMAGENES
Administrador:
Puede configurar nuevas cuentas para usuarios, editar perfiles de
usuario, eliminarlos o simplemente echar un vistazo a todos los
perfiles de los espectadores
Administrador:
Para agregar un nuevo usuario, debe hacer clic en el botón agregar
usuario en el menú de administración a la izquierda y complete los
campos disponibles en la vista cargada
IMAGEN 1
Administrador:
Se debe diligenciar cada campo acorde a la descripción de la
imagen 2.
IMAGEN 2
Administrador:
Para enumerar todos los usuarios actuales del sistema,
simplemente haga clic en la lista de usuarios en el menú de
administración a la izquierda. Se cargará una vista que contiene
una lista de todos los usuarios y las siguientes columnas de
información
IMAGEN 3 IMAGEN 4
Administrador:
Para usar la función "Contactar a los usuarios" con el fin de enviar
un correo electrónico a todos los usuarios o a los usuarios
individuales. Los usuarios que tienen un conjunto de claves GnuPG
recibirán sus correos electrónicos encriptados. Al hacer clic en este
botón a la izquierda, se le presentará un formulario que le permite
especificar el tipo de correo electrónico, a quién debe llegar y qué
contenido está utilizando las siguientes opciones
IMAGEN 5 IMAGEN 6
Administrador:
Para agregar una nueva organización, haga clic en el botón
"Agregar organización" en el menú de administración a la izquierda
y complete los siguientes campos en la vista que se carga
IMAGEN 7 IMAGEN 8
Administrador:
Para enumerar todas las organizaciones actuales del sistema,
simplemente haga clic en lista de organizaciones en el menú de
administración a la izquierda. Hay 3 pestañas en esta vista para
filtrar organizaciones locales, organizaciones remotas o ambas. La
vista predeterminada muestra las organizaciones locales.
IMAGEN 9 IMAGEN 10
Se necesita editar NO
o eliminar la
información de
una organización
SI
Administrador:
Para editar o eliminar la organización son las mismas opciones
para crear la vista de la organización
IMAGEN 11
Administrador:
Para ver una organización puede mostrar que el usuario pertenece
a esta organización y los eventos publicados por la organización
IMAGEN 12
Es necesario NO
fusionar una 1
organización
SI
Administrador:
El menú Combinar organización solo está disponible en la vista de
organización, debajo del menú izquierdo. Fusionar una
organización con otra transferirá todos los usuarios y datos de una
organización a otra. La organización de la que se transferirán los
usuarios y los datos se muestra a la izquierda, la organización de
destino se muestra a la derecha.
IMAGEN 13
1
Administrador:
No se requiere modificar usuarios ni organizaciones
FIN
IDENTIFICACIÓN DE ROLES
INICIO
Administrador:
Los privilegios se asignan a los usuarios asignándolos a grupos de
reglas.
Administrador:
Los grupos de reglas usan una de las cuatro opciones para
determinar qué pueden hacer con los eventos
IMAGEN 14
Se requieren NO
elevar
privilegios
SI
Administrador:
Se asignan los privilegios adicionales que se requieran.
IMAGEN 15
Se requieren NO
establecer un 1
nuevo rol
SI
Administrador:
Al crear un nuevo rol, deberá ingresar un nombre para el rol que se
creará y configurar los permisos utilizando el menú desplegable y
las casillas de verificación relacionadas.
IMAGEN 16
1
Administrador:
Para validar todos los roles existentes debe hacer clic en el botón
listar roles, puede ver una lista de todos los roles actualmente
registrados y sus permisos habilitados. Además, puede encontrar
botones que le permiten editar y eliminar dichos roles. Tenga en
cuenta que primero deberá eliminar a cada miembro de un rol
antes de poder eliminarlo.
IMAGEN 17 IMAGEN 18
Se requieren NO
editar o
eliminar el rol
SI
Administrador:
Para editar el rol son las mismas opciones para crear la vista del rol
y para eliminar el rol use la opción para eliminar un rol.
IMAGEN 19
Administrador:
No se requiere modificar ningún rol
FIN
Administrador:
Para ingresar a la configuración del servidor se puede navegar en
Administración - Configuración del servidor.
IMAGEN 20
Administrador:
La herramienta de configuración y diagnóstico se divide en varios
aspectos, todos accesibles a través de las pestañas en la parte
superior de la herramienta. Para cualquier configuración no
establecida o configurada incorrectamente, o un diagnóstico fallido,
un número junto al nombre de la pestaña indicará el número y la
gravedad de los problemas. Si el número está escrito con una
fuente roja, significa que el problema es crítico
IMAGEN 21 IMAGEN 22
Administrador:
Cada una de las páginas de configuración es una tabla con cada
fila que representa una configuración. Las filas de colores indican
que la configuración es incorrecta / no establecida y el color
determina la gravedad (rojo = crítico, amarillo = recomendado,
verde = opcional).
IMAGEN 23
Administrador:
La pestaña trabajadores muestra una lista de los trabajadores que
MISP puede usar. Puede reiniciar trabajadores utilizando el botón
"reiniciar todos los trabajadores". Si el botón no funciona,
asegúrese de que los trabajadores comenzaron a usar el usuario
de apache. Sin embargo, esto solo se puede hacer usando la línea
de comando, consulte la documentación de INSTALL.txt sobre
cómo dejar que los trabajadores se inicien automáticamente en
cada arranque
IMAGEN 23 IMAGEN 24
Administrador:
Es posible prohibir la entrada de ciertos valores en el sistema
mediante un campo de información de evento o un valor de
atributo. Los administradores pueden agregar, editar o eliminar
elementos de la lista negra mediante el uso de las funciones
apropiadas en el menú de acción de la lista y el menú de la
izquierda.
Administrador:
El sistema permite a los administradores configurar reglas para
expresiones regulares que alterarán automáticamente los eventos
recién ingresados o importados (desde GFI Sandbox).
Administrador:
e pueden usar para varias cosas, como unificar las mayúsculas y
minúsculas de las rutas de archivo para una correlación de eventos
más precisa o para censurar automáticamente los nombres de
usuario y usar nombres de variables de ruta del sistema
(cambiando C: \ Users \ UserName \ Appdata \ Roaming \ file.exe a
% APPDATA% \ file.exe). El segundo uso es el bloqueo, si se
ingresa una expresión regular con un reemplazo en blanco, no se
agregará ninguna información de evento o valor de atributo que
contenga la expresión.
Administrador:
Los administradores pueden agregar, editar o eliminar reglas de
expresiones regulares, estas "expresiones" están formadas por un
patrón de expresiones regulares que el sistema busca y un
reemplazo para el patrón detectado.
IMAGEN 25
Administrador:
La vista de la lista blanca de firmas, accesible a través del menú de
administración a la izquierda, permite a los administradores crear y
mantener una lista de direcciones que se incluyen en la lista blanca
para que nunca se agreguen a las firmas NIDS. Las direcciones
que figuran aquí se comentarán al exportar la lista de NIDS.
Administrador:
Mientras está en la vista de la lista blanca, haga clic en Nueva lista
blanca a la izquierda para que aparezca la vista "Agregar lista
blanca" para agregar una nueva dirección.
Administrador:
Al ver la lista de direcciones de la lista blanca, se muestran los
siguientes datos: la ID de la entrada de la lista blanca (asignada
automáticamente cuando se agrega una nueva dirección), la
dirección en sí que se incluye en la lista blanca y un conjunto de
controles que le permiten eliminar la entrada o editar la dirección
IMAGEN 26
Administrador:
Los usuarios con permisos de auditoría pueden navegar o buscar
registros que MISP agrega automáticamente cada vez que se
toman ciertas acciones (acciones que modifican datos o si un
usuario inicia y cierra sesión).
IMAGEN 27
Administrador:
Enumerar todas las entradas de registro mostrará las siguientes
columnas generadas por los usuarios de su organización (o todas
las organizaciones en el caso de los administradores del sitio)
IMAGEN 28
Administrador:
Otra forma de examinar los registros es buscarlo filtrando los
resultados de acuerdo con los siguientes campos (la búsqueda es
una búsqueda de subcadena, la subcadena debe ser una
coincidencia exacta para la entrada en el campo que se está
buscando )
IMAGEN 29
Administrador:
Si está habilitado, MISP puede delegar muchas de las tareas que
requieren mucho tiempo a los trabajadores en segundo plano.
Estos se ejecutarán en secuencia, lo que permitirá a los usuarios
de la instancia seguir utilizando el sistema sin problemas y sin tener
que esperar a que finalice el proceso. También permite que ciertas
tareas sean programadas y automatizadas.
Administrador:
Los trabajadores en segundo plano funcionan con CakeResque ,
por lo que todos los comandos de CakeResque funcionan. Para
iniciar todos los trabajadores que necesita MISP, vaya a
/var/www/MISP/app/Console/worker (suponiendo una ruta de
instalación estándar) y ejecute start.sh . Para interactuar con los
trabajadores, aquí hay una lista de comandos útiles. Vaya a
/var/www/MISP/app/Console (suponiendo una ruta de instalación
estándar) y ejecute uno de los siguientes comandos como
parámetro para ./cake CakeResque (por ejemplo: ./cake
CakeResque tail ).
IMAGEN 30
Administrador:
Los otros comandos no deberían ser necesarios, en lugar de iniciar
/ detener o reiniciar los trabajadores, use el start.sh suministrado
(detiene a todos los trabajadores y los inicia de nuevo). Para
obtener más instrucciones sobre cómo usar los comandos de la
consola para los trabajadores
Administrador:
El elemento de menú "Trabajos" dentro del menú Administración
permite a los administradores del sitio obtener una visión general
de todos los trabajos programados actuales y pasados. Los
administradores pueden ver el estado de cada trabajo y lo que el
trabajo en cola está tratando de hacer. Si un trabajo falla, intentará
establecer un mensaje de error aquí también.
IMAGEN 31
Administrador:
Los administradores del sitio pueden programar tareas recurrentes
para los trabajos que generalmente tardan más en ejecutarse. Por
el momento, esto incluye empujar / extraer otras instancias y
generar un caché de exportación completo para cada organización
y tipo de exportación. MISP viene con estas 3 tareas predefinidas,
pero se planean más tareas.
IMAGEN 32
Se requieren
aplicar filtros
Administrador:
Para regular la recepción de correo electrónico desde MISP es
posible crear filtros. Cada cuenta de usuario individual puede
aplicar dicho filtro. El usuario puede configurar el filtro, pero
también el administrador de la organización
Administrador:
Después de iniciar sesión, vaya a Administración -> Establecer
configuración de usuario. parece una nueva pantalla. Asegúrese de
que el cuadro desplegable "Configuración" muestre
"publishing_alert_filter"
IMAGEN 33
Administrador:
El campo de texto "Valor" contiene el filtro, que debe
proporcionarse en formato JSON. Los objetos JSON importantes
que se pueden usar aquí van con el nombre AND "," OR "y" NOT ".
Estos deben estructurarse en un árbol lógico.
IMAGEN 34
Después de aplicar la configuración, el filtro aparecerá en el menú
"Mi configuración"
Administrador:
El filtrado se puede aplicar a etiquetas o a una organización
Elija su nivel de uso compartido predeterminado para que coincida
editorial.
con su escenario de uso para MISP. La configuración se denomina
default_event_distribution y los valores pueden ser: Solo su
organización (predeterminado), Esta comunidad solamente,
Comunidades conectadas, Todas las comunidades. El filtrado se
puede aplicar a etiquetas o a una organización editorial.
Administrador:
También puede establecer un nivel de distribución predeterminado
para los atributos contenidos en un evento con
default_attribute_distribution , y tiene los mismos valores que el
nivel de uso compartido predeterminado para eventos más uno
adicional que permite que los atributos hereden el nivel de uso
compartido del evento.
Administrador:
Puede agregar un logotipo para sus organizaciones en MISP
cargándolos a través de la pestaña Administrar archivos en el
menú Administración y submenú Configuración del servidor . El
nombre del archivo debe ser exactamente el mismo que el nombre
de la organización que usará en MISP. Se recomienda utilizar
archivos PNG de 48x48 píxeles.
Administrador:
El trabajador _schdlr_ no está comenzando, si ya se aseguró de
copiar el archivo de configuración en el directorio cakeresque,
podría deberse a que el FQDN del servidor que aloja la instancia
ha cambiado. Una forma de solucionar esto es eliminar los datos
temporales almacenados en redis. Esto se puede hacer iniciando
sesión en redis, por ejemplo, al iniciar sesión con redis-cli y
emitiendo un comando flushall.
Administrador:
Aumentar el tamaño máximo de muestras / otros archivos o
Intentar cargar una muestra grande (> 50M) puede causar el
siguiente error: [!] 500 Server Error: Internal Server Error. O le dará
una página de error en el navegador.
Administrador:
Para solucionarlo, debe ajustar la configuración de php: vi
/etc/php5/apache2/php.ini. Aumente a los siguientes valores (o más
si lo desea); Maximum size of POST data that PHP will accept. ; Its
value may be 0 to disable the limit. It is ignored if POST data
reading ; is disabled through enable_post_data_reading. ;
http://php.net/post-max-size post_max_size = 256M […] ; Maximum
amount of memory a script may consume (128MB) ;
http://php.net/memory-limit memory_limit = 1024M
Administrador:
Y luego reinicie apache2: service apache2 restart
Administrador:
La configuración MISP.extended_alert_subject le permite tener un
tema extendido. Sin embargo, una palabra de advertencia. Si está
utilizando encriptación: el sujeto no será encriptado. Tenga en
cuenta que podría filtrar información confidencial de esta manera. A
continuación se muestra un ejemplo de cómo se ven los dos tipos
de materias. Primero con la opción deshabilitada, luego con la
opción habilitada. Event 7 - Low - TLP Amber Event 8 - OSINT -
Dissecting XXX… - Low - TLP Amber
Administrador:
Obtenga los mejores usuarios de API, habilite la configuración
log_auth en la configuración del servidor. Opcionalmente, habilite
log_client_ip si desea obtener estadísticas por IP del cliente. Inicie
sesión en su servidor mysql y ejecute la siguiente consulta: select
ip,email,count(id) as c from logs WHERE ip IS NOT NULL group by
ip,email order by c desc limit 10;
Administrador:
Por defecto, MISP tiene varias capas de registros que se pueden
usar para resolver problemas y monitorear el sistema.
IMAGEN 35
Administrador:
De manera predeterminada, MISP registra todos los intentos
fallidos de inicio de sesión y autenticación en los registros de
auditoría incorporados. Para ver dichos intentos fallidos,
simplemente inicie sesión como administrador del sitio y navegue
hasta Auditoría - Registros de la lista.
Administrador:
Hay dos tipos de entradas que serán interesantes si está buscando
intentos de autenticación fallidos, entradas de acción "auth_fail"
(para intentos fallidos de autenticación a través de la clave API o el
sistema de autenticación externo) y login_fail (para intentos fallidos
de inicio de sesión a través de página de inicio de sesión).
Administrador:
Para habilitar el registro de IP para cualquier solicitud registrada en
MISP, vaya a Administración - Configuración del servidor -
Configuración de MISP y habilite la configuración
MISP.log_client_ip.
Administrador:
También es posible habilitar el registro completo de las solicitudes
de autenticación externa y API utilizando la configuración
MISP.log_auth en la misma ubicación, pero tenga en cuenta que
esto es muy detallado y registrará cada solicitud realizada. Además
de la información anterior, también se registran todas las URL de
recursos a las que se accede..
Administrador:
MISP proporciona una forma manual de borrar las sesiones.
Navegue a la pantalla de diagnóstico de MISP (Administración -
Configuración del servidor - Diagnóstico) y cerca de la parte inferior
de la página habrá un contador que muestra el recuento de las
sesiones caducadas almacenadas actualmente. Simplemente
purgue haciendo clic en el botón correspondiente cuando el
número crezca demasiado.
Administrador:
Si tiene un sistema operativo habilitado para IPv6, pero una versión
de redis anterior que no es compatible con IPv6 (<v2.8), MISP
podría no conectarse al servidor de redis mientras redis-cli está
funcionando. La razón es que redis-cli se conecta directamente a
127.0.0.1, mientras que las llamadas dentro de la biblioteca
CakeResque utilizadas por MISP se realizan utilizando " localhost "
que resuelve las direcciones de bucle invertido IPv4 e IPv6. Por
algunas razones, el uso de la dirección IPv6 se intenta primero, lo
que falla.
Administrador:
Puede confirmar esto intentando conectarse a redis utilizando
telnet localhost 6379 . Si falla, el mensaje de error debe mencionar
la dirección de bucle invertido IPv6 (:: 1). Dos formas de arreglarlo:
Actualice su redis a un servidor que admita IPv6 (v2.8 +). Esta es la
recomendación preferida. Comente el mapeo localhost a la
dirección IPv6 en / etc / hosts
Administrador:
Si tiene errores con los campos o tablas que puede ver en el
error.log o en la página (si habilitó la configuración de depuración o
site_admin_debug ), una solución fácil para hacer que la mayoría
de ellos desaparezcan es usar la función de caché limpio en el
servidor de configuración de menú, diagnóstico pestaña. Un
ejemplo de mensaje de error: Error: [PDOException]
SQLSTATE[42S22]: Column not found: 1054 Unknown column
'Task.job_id' in 'field list'
Administrador:
No requiere más acciones de configuración
FIN
TRABAJOS
INICIO
Administrador:
La pestaña Trabajos le ofrece una descripción general de los
trabajos en ejecución o trabajos que se completaron previamente y
su estado.
Administrador:
Por lo general, este es uno de los lugares a los que recurriría,
incluso algunos procesos en segundo plano podrían no
completarse como se esperaba para obtener una indicación sobre
cualquier problema relacionado con los trabajos iniciados por el
usuario.
https://github.com/MISP/misp-
book/blob/master/administration/figures/jobs-running.png
Administrador:
Para facilitar su uso, puede filtrar los trabajos por 'Todos',
'Predeterminado', 'Correo electrónico', 'Caché'
Administrador:
También puede purgar las entradas, ya sea solo por estado
completado o purgar todo. Esto no está automatizado y debe
hacerse manualmente.
FIN
TAREAS PROGRAMADAS
INICIO
Administrador:
Aquí puede programar tareas predefinidas que se ejecutarán cada
x horas.
Administrador:
Puede modificar la fecha y la hora de la próxima ejecución
programada y la frecuencia con la que se repetirá (expresado en
horas)
Administrador:
Si configura el frecuencia a 0, entonces la tarea no se repetirá.
Para cambiar y de las configuraciones mencionadas anteriormente,
simplemente haga clic en el campo apropiado y presione actualizar
todo cuando haya terminado de editar las tareas programadas.
Administrador:
Las tareas programadas vienen con muchas advertencias y pocas
en cuanto a personalizaciones / granularidad. En su lugar,
simplemente puede crear trabajos cron a partir de los comandos de
la consola
Administrador:
El programador de tareas es un componente de baja calidad que
permite una funcionalidad mínima en términos de automatización
de ciertas tareas de MISP. Si tiene un administrador del sitio de
MISP dedicado y consciente, puede vigilar el Programador para
asegurarse de que todo funcione sin problemas.
Administrador:
Para un mejor rendimiento, utilice un planificador real como el
crontab de sus sistemas. Como regla general: si puede hacer clic
en él, MISP puede automatizarlo.
FIN
CREACIÓN DE EVENTOS
INICIO
Usuario:
Se requiere un permiso específico para crear un evento
Usuario:
Para agregar un evento, en primer lugar, necesitamos crear un
nuevo evento. Para hacerlo, hacemos clic en la opción "Agregar
evento" cuando esté en la vista de lista de eventos.
IMAGEN 36
Usuario:
Luego obtenemos el formulario para agregar eventos
IMAGEN 37
Usuario:
Agregamos el evento
IMAGEN 38 IMAGEN 39
Usuario:
Se debe presionar el botón azul "Agregar" y aquí se obtiene un
nuevo evento. Vacío. La información mostrada puede cambiar
dependiendo de su rol en la instancia de MISP
IMAGEN 40
Usuario:
Es el momento de poblar este evento. Pero incluso antes de
agregar IoC , agregaremos información global sobre el informe en
sí: el enlace del informe y una breve explicación o introducción.
Usuario:
Para poblar el evento, debemos hacer clic en la opción "Agregar
atributo" en el menú lateral y modificar la información.
IMAGEN 41
Usuario:
Se debe agregar la información según indicaciones
IMAGEN 42 IMAGEN 43
Usuario:
Se debe presionar el botón enviar para obtener el pantallazo
requerido
IMAGEN 44
Usuario:
Para agregar una introducción al informe (es decir, el primer
párrafo del informe). Simplemente cambiaremos el tipo de texto.
Usuario:
Accederemos al formulario para agregar atributos haciendo clic en
el pequeño símbolo + junto a la tabla de atributos.
IMAGEN 45 IMAGEN 46
Usuario:
Se diligencian los datos requeridos
IMAGEN 47
Usuario:
Luego lo enviamos haciendo clic en el botón azul
IMAGEN 48
Usuario:
Luego lo enviamos haciendo clic en el botón azul
IMAGEN 48
IMÁGENES
IMAGEN 1
IMAGEN 2
IMAGEN 3
IMAGEN 4
IMAGEN 5
IMAGEN 6
IMAGEN 7
IMAGEN 8
IMAGEN 9
IMAGEN 10
IMAGEN 11
IMAGEN 12
IMAGEN 13
IMAGEN 14
IMAGEN 15
IMAGEN 16
IMAGEN 17
IMAGEN 18
IMAGEN 19
IMAGEN 20
IMAGEN 21
IMAGEN 22
IMAGEN 23
IMAGEN 24
IMAGEN 25
IMAGEN 26
IMAGEN 27
IMAGEN 28
IMAGEN 29
IMAGEN 30
IMAGEN 31
IMAGEN 32
IMAGEN 33
IMAGEN 34
IMAGEN 35
IMAGEN 36
IMAGEN 37
IMAGEN 38
IMAGEN 39
IMAGEN 40
IMAGEN 41
IMAGEN 42
IMAGEN 43
IMAGEN 44
IMAGEN 45
IMAGEN 46
IMAGEN 47
IMAGEN 48