Implementar SOC: Instalar TheHive, Cortex y MISP

Artículos relacionados

Linux: Comandos y Directorios básicos

20 horas hace

Mikrotik: Hardening configuraciones Router

4 días hace

Implementar SOC: Instalación Wazuh

18 febrero, 2024

Implementar SOC: Instalar TheHive, Cortex y MISP

En otras entradas hablamos de lo que es un SOC y lanzamos el reto de crear mediante diferentes herramientas de código abierto, un SOC OpenSource.

En esta entrada vamos a montar 3 herramientas en una sola máquina virtual:

• The Hive:
  • WEB OFICIAL: https://thehive-project.org/
  • Descripción: Permite la gestión de alertas desde su creación hasta su cierre

• Cortex:
  • WEB OFICIAL: https://thehive-project.org/
  • Descripción: Permite el análisis mediante una página web de los diferentes analizadores detectados (IP´s, correos electrónicos, URL´s, dominios…), se usa normalmente en conjunto con The Hive para disponer de una respuesta activa

• MISP:
  • WEB OFICIAL: https://www.misp-project.org/
  • Descripción: Permite el intercambio de amenazas, siendo una plataforma de código abierto, mantenida por el Computer Incident Response Center Luxembourg (CIRCL) que te permite suscribirte a fuentes de inteligencia de amenazas

Son herramientas que pueden convivir en la misma máquina si las montamos sobre Docker por ejemplo o no se hace con el script automático, y que pueden estar relacionados, con lo que simplificamos nuestra infraestructura. En mi caso, como tengo recursos limitados en entorno pequeño, voy a generar una máquina con las siguientes características:

• 4 vCPUs, 64GB disco y 16 GB de RAM en un LXC Ubuntu 22.04
• Puertos de comunicación:
  • TheHive -> TCP 9000
  • Cortex -> TCP 9001
  • MISP -> 443
  • SSH -> TCP 22

Requerimientos TheHive, Cortex y MISP

Según la documentación oficial de cada proyecto, los requerimientos dependerá de los usuarios concurrentes que vayan a usar los productos. Tomaremos de referencia mínima de TheHive, pero tanto Cortex y MISP recomiendan como mínimo 16GB de RAM:

Os dejo una calculadora que os puede servir:

• https://misp.github.io/MISP-sizer/

Instalación TheHive, Cortex y MISP bajo Ubuntu 22.04 Proxmox

Antes de empezar actualizamos el sistema e instalamos los requerimientos:

Instalar TheHive 5 en Ubuntu 20.04

DOCUMENTACION:

• https://docs.thehive-project.org/thehive/legacy/thehive3/installation/install-guide/
• https://docs.strangebee.com/thehive/setup/#installation-guides

Utilizaremos el script automatizado (el proceso manual lo tenéis https://docs.strangebee.com/thehive/setup/installation/step-by-step-guide/#installation_1):

Elegimos la opción 2:

El script comienza el proceso de instalación de TheHive 5.1 y sus dependencias (Apache Cassandra 4.0.x y Elasticsearch 7.x):

Al terminar podéis ver la URL http://10.0.0.12:9000

Si vamos a la URL veremos el login:

El usuario por defecto para TheHive es:

• Login: admin@thehive.local
• Password: secret

Necesitaréis activar una licencia para un entorno grande, para este LAB usaré la licencia de comunidad que viene por defecto. Podéis ver sus características:

• https://www.strangebee.com/pricing/thehive/

El código para generar la licencia lo podéis encontrar desde el menú Plataform Management -> License -> License Management:

Instalar Cortex en Ubuntu

DOCUMENTACION:

• https://docs.thehive-project.org/cortex/#installation-and-configuration-guides
• https://docs.strangebee.com/thehive/setup/#installation-guides
• https://www.howtoforge.com/how-to-install-cortex-on-ubuntu-22-04/

Os voy a enseñar dos métodos de instalación. Por una parte, podríamos seguir el proceso anterior de instalación de The Hive aara instalar Cortex lanzando nuevamente el script, pero eligiendo la opción 3. El problema de este proceso, es que no puede ser en la misma máquina:

Para hacerlo en la misma máquina seguimos estos comandos, que es un proceso más manual:

Descomentamos la línea y editamos la línea del fichero “nano /etc/cortex/application.conf”

Habilitamos el servicio:

Y validamos:

Comprobamos que escucha en el puerto 9001:

Accedemos a la URL “http://10.0.0.12:9001” y pulsamos UPDATE DATABASE:

Y generamos el usuario administrador:

Comprobamos el acceso:

Generamos una nueva organización y un usuario dentro de ella:

Generamos una API Key para el usuario:

Instalar MISP en Ubuntu

DOCUMENTACION: https://misp.github.io/MISP/xINSTALL.ubuntu2204.html

Necesitamos tener un usuario diferente a root para lanzarlo:

Descargamos el script:

Le damos permisos de ejecución al script:

Lanzamos la instalación, nos pedirá las credenciales del usuario y crear un usuario llamado MISP:

Accedemos a la url con las siguientes credenciales:

En el primer login nos pedirá cambiar la contraseña:

Generaremos una nueva Auth Keys desde el perfil del usuario restringiendo la IP, de forma que cuando integremos con TheHive tenga permisos para generar eventos MISP (esto es un LAB, como con Cortex es mejor generar un usuario específico para esto):

 

Integración Cortex y MISP con TheHive

Ahora tenemos que agregar Cortex y MISP con TheHive.

• https://docs.thehive-project.org/thehive/installation-and-configuration/configuration/connectors-cortex/
• https://docs.thehive-project.org/thehive/installation-and-configuration/configuration/connectors-misp/

Configurar conector Cortex en TheHive

La instalación que hemos hecho ya tiene los conectores ya habilitado por defecto en THEHIVE. Así que empezamos con Cortex, y agregamos el servidor:

Introducimos los siguientes datos:

• Server Name: cortex
• Server URL: http://127.0.0.1:9001
• API Key: Introducimos la Key del usuario que hemos generado anteriormente
• Pulsamos el test y si sale bien, agregamos el servidor

Pulsamos CONFIRM:

Validáis en TheHive:

 

Configurar conector MISP en TheHive

La integración del conector es prácticamente igual que con Cortex, tiene su propio apartado en los menús de gestión. Agregamos el servidor:

Rellenamos los datos, en mi caso:

• Server Name: misp
• Server url: https://10.0.0.12
• API Key: rz6yiybzNfT1VoxrMaSYXLnrrFokcgWQC5RYj1S0
• Desmarco Check Certificate Authority de momento…

Confirmamos:

 

Y validamos:

Una vez montados los tres productos e integrados…veremos más adelante como funcionan para completar nuestro SOC Opensource

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

Follow @@elblogdenegu