MineMeld Threat Intelligence Platform
Siber saldırıların önlenmesi için, birçok kuruluş güvenlik cihazlarında yeni kontroller oluşturma amacıyla çeşitli tehdit istihbarat sağlayıcılarından indicators of compromise (IOC’ler) toplar. Bu IOC leri toplamak, genellikle karmaşık iş akışları yaratır ve hangi IOC’lerin engellenmesi gerektiğini belirlemek ve doğrulamak için gereken süreyi uzatır.
MineMeld tehdit istihbaratının toplanmasını, uygulanmasını ve paylaşılmasını kolaylaştıran açık kaynak bir uygulamadır. MineMeld, göstergeler listesini değiştirmek ve üçüncü taraf uygulama altyapısı tarafından entegre edilebilmesi için dönüştürmek / toplamak için kullanılır. MineMeld, tüm kullanıcılar için doğrudan GitHub’ın yanı sıra, kolay kurulum için önceden oluşturulmuş sanal makineler (VM’ler) ile de kullanılabilir. MineMeld’in birçok kullanım senaryosu vardır; bazı örnekler
- Spamhouse, usom, cisco talos, virus total vb feed lerini indirip güvenlik cihazlarında entegre eder.
- CERT, OSINT ve ISAC’lar Tehdit İstihbaratı yayınlarını toplar, çoğul kayıtları kaldırır, saldırı yönlerini ve güven düzeylerini birleştirir, ardından bu listeyi üçüncü taraf araçların uygulanması için kullanılabilir kılar.
- Göstergeleri syslog iletilerinden ayıklar ve bunları üçüncü taraf kaynaklardan gelen göstergelerle toplar.
Kurulumunu çeşitli platformlarda yapabilirsiniz ben tercihimi ubuntu dan yana kullandım. Başlayalım >
Aşağıdaki linkten size uygun olan ubuntu dağıtımını indirebilirsiniz( ben 16.04 Xenial Xerus kurdum)
Vmware workstation da iso dosyasıyla kurulumu tamamlarız. Sonrasında temel işletim sistemi ayarlamaları için aşağıdaki siteden yararlanabilirsiniz. MineMeld, ubuntu ile ilgili ayarları kendisi yapmaz.
Bu işlem de tamamlandıktan sonra tüm paketlerimizi bir güncelleyelim.
MineMeld tarafından kullanılan bağlantı noktalarında oturumlara izin vermek için iptables yapılandırmak için aşağıdaki komutları kullanabilirsiniz. Ayrıca bu kurallar tüm IPv6 trafiğini düşürür, MineMeld’i bir IPv6 ağında çalıştırıyorsanız önerilen kuralları değiştirdiğinizden emin olun.
sudo apt install -y iptables-persistent
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 13514 -j ACCEPT
sudo iptables -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
sudo iptables -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
sudo iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
sudo iptables -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo bash -c "iptables-save > /etc/iptables/rules.v4"
sudo ip6tables -A INPUT -i lo -j ACCEPT
sudo ip6tables -P INPUT DROP
sudo ip6tables -P FORWARD DROP
sudo bash -c "ip6tables-save > /etc/iptables/rules.v6"MineMeld repo GPG anahtarını APT güvenilen anahtarlığına ekleyin:
wget -qO - https://minemeld-updates.panw.io/gpg.key | sudo apt-key add -
Burada hata alırsa kendiniz gpg key indirip eklemeyi deneyin.
MineMeld APT deposunu sistem listesine ekleyin ve APT önbelleği güncelleyelim:
sudo add-apt-repository "deb http://minemeld-updates.panw.io/ubuntu xenial-minemeld main"
sudo apt updateMineMeld nginx ve redis gerektirir. Yapılandırma çakışmalarını önlemek için MineMeld paketini kurmadan önce bunları yüklemeliyiz:
sudo apt install -y nginx redis-serveSon olarak ;
MineMeld altyapı paketini apt ile yükleyelim. Bu aynı zamanda en son MineMeld paketlerinin indirilmesini otomatik olarak tetikleyecektir.
sudo apt install -o Dpkg::Options::="--force-overwrite" -y minemeldKurulum bitince restart ediyoruz:
sudo shutdown -r nowCihazınız yeniden başladıktan sonra servislerin kontrolü için
sudo -u minemeld /opt/minemeld/engine/current/bin/supervisorctl -c /opt/minemeld/local/supervisor/config/supervisord.conf status
Şimdi ara yüze girebiliriz.
Ben local bilgisayarımdan bağlanmak adına pat işlemi yaptım siz direk ubuntu üzerinizden de erişebilirsiniz.
default kullanıcı/şifre || admin/minemeld
Dashboard üç ana bölümden oluşuyor,
Yeşil alan Miners olarak adlandırılır ve farklı besleme kaynağından göstergeleri düzenli aralıklarla almaktan ve bunları güncelleme iletilerini kullanarak bağlı düğümlere doğru aşağı doğru itmekten sorumludur.
Kırmızı alan Processor olarak adlandırılır, minerstan gelen göstergeleri toplar, işler ve outputa (sarı) iletir.
Menülerde NODES alanından mevcut miner processor outputları görürüz.
Herhangi birine tıklayıp detaylarını görebiliriz.
Config bölümünden import export işlemi yapabilir ve yeni node oluşturabilirsiniz. Aşağıda prototype listesini bulabilirsiniz, dilerseniz kendiniz de ekleyebilirsiniz. Bazıları;
- ETOpen
- Alienvault
- CiscoISE
- AWS
- Azure
- Virustotal
- Ransomwaretracker
- Spamhaus
- Recorded Future
Aşağıda örnek olarak recordedfuture için prototype var. Clone seçeneğiyle bunu kopyalabiliriz.
Logs alanından da update ile ilgili kayıtlara erişebiliriz.
System bölümünden engine durumu genel cpu memory bilgilerini kontrol ederiz.
Örnek olarak bu outputu feed olarak güvenlik cihazlarınıza ekleyebilirsiniz. PaloAlto ailesini kullanıyorsanız daha zengin entegrasyonlarınız olacaktır. Örneğin cisco firepower da feed olarak eklemek için;
Feed Base URL kısmını tanımlayacağız. Update sıklığını limitlere göre belirleyebilirsiniz. Bunu kuralda kullandığınız zaman tekrar politika paketi yüklemeden feed den gelen ip adresleri güncellenir ve ona göre engelleme yapılır.
Son olarak incident response platformunda kullanımı ile ilgili bir yazı için aşağıdaki linkten yararlanabilirsiniz. Daha zengin örnekler kurgulanabilir.
IBM Qradar ile entegrasyonu için
Referanslar
