Part 1 : Integrasi Wazuh dan CTI. Instalasi MISP Threat Intelligence
MISP adalah open source threat intelligence yang dapat diinstall secara on premise. MISP dpat dijadikan sebagai sumber informasi tambahan untuk pengayaan informasi untuk Wazuh agar dapat berfungsi sebagai XDR. System requirements untuk MISP adalah sebagai berikut :
- 2 CPU
- 4GB RAM
- 150 GB Storage
Instalasi menggunakan docker, namun harus menggunakan package dari dockerhub. Jika instalasi dari apt resources (untuk Ubuntu) kemungkinan akan mendapatkan error saat build images. Jadi pertama-tama install dulu docker engines dengan langkah-langkah berikut.
Install docker engine dari dockerhub
for pkg in docker.io docker-doc docker-compose podman-docker containerd runc; do apt-get remove $pkg; done# Add Docker's official GPG key:
apt-get update
apt-get install ca-certificates curl
install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc# Add the repository to Apt sources:
echo \\
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] <https://download.docker.com/linux/debian> \\
$(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \\
tee /etc/apt/sources.list.d/docker.list > /dev/null
apt-get updatesudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-pluginSetelah docker engine siap, kita bisa melanjutkan ke instalasi MISP. Langkah-langkahnya adalah sebagai berikut.
Clone repositori MISP
git clone <https://github.com/MISP/misp-docker> && cd misp-dockerUbah parameter di .env
cp template.env .env
nano .env## ubah bagian ini
MISP_BASEURL=https://<misp-ip-address>MISP base url ini harus tepat karena tampilan dari UI MISP bergantung dari path yang ditentukan di sini.
Pada docker compose, service misp, hanya expose https
nano docker-compose.yml## ubah ports #"80":"80"
"443":"443"
Build image
docker compose buildUp image
docker compose up -dFollow logs dengan menggunakan command
docker logs <ID> --followSetelah muncul log berupa MISP is live now, user can login, buka UI MISP
https://base_url_MISPLogin menggunakan credential default yaitu username: admin@admin.test dan password: admin. Segera ganti password dengan password yang lebih kuat.
Ambil feeds dari sini untuk memasukkan sumber data. Copy raw value lalu pase di Sync Actions > Feeds > Import Feeds from JSON.
Akan muncul pada List Feeds daftar sumber data
Centang lalu klik Enable feeds untuk mengaktifkan sumber data, lalu klik fetch and store all feed data untuk mendownload data yang disediakan setiap sumber feeds.
Kita bisa melihat data yang diambil dari feeds pada Event Actions.
Dan dapat melihat attributes yang muncul untuk setiap events di List Attributes.
List attributes ini yang akan dijadikan lookup value oleh Wazuh untuk pencarian IoC.
Agar Wazuh bisa otomatis lookup, butuh Authkey untuk akses API. Buat Authkey untuk akses API MISP, lokasi di Administration > List Auth Keys > Add Authentication Key
Centang read-only jika ingin membatasi akses.
Tes API.
curl -k --header "Authorization: <API-key>" \
--header "Accept: application/json" \
--header "Content-Type: application/json" \
https://<MISP-IP>/attributes/restSearch/value:bayuskylabs.com
Jika attributes kosong berarti tidak ada security event terkait dengan lookup value di MISP.
Jadwalkan untuk siknronisasi feeds setiap tengah malam, supaya bisa feeds selalu up to date datanya.
00 0 * * * /usr/bin/curl -XPOST --insecure --header "Authorization: **YOUR_API_KEY**" --header "Accept: application/json" --header "Content-Type: application/json" https://**YOUR_MISP_ADDRESS**/feeds/fetchFromAllFeedsMISP instance sudah siap dijadikan sumber data untuk Wazuh. Akan berlanjut ke Part 2 untuk mengkoneksikan Wazuh dengan MISP.
Untuk Integrasi dan pemanfaatan MISP ini juga saya bahas di Course Wazuh 2 di Cyberkarta : Production Ready SIEM dan SOC Menggunakan Wazuh dan Graylog (cyberkarta.com)
Bagi yang ingin mendalami CTI, akan ada live course tentang CTI di Cyberkarta. Stay tuned.
