Skip to main content

Primeras configuraciones

Al acceder a MISP por primera vez, le solicitará el cambio de contraseña del usuario admin, una vez realizado procederá con los siguientes pasos.

Creación de usuario para automatizaciones

Acceda a Administration > List users y en el menú lateral pulse en Add User

Rellene los datos con el nuevo usuario que servirá para lanzar las automatizaciones (evitando usar el usuario admin).

Desactive todas las opciones inferiores

Pulse en Create User. En una ventana de incognito, acceda a la web e inicie sesión como el nuevo usuario. Mediante el menú superior a la sección Administration > List Auth Keys y pulse en Add authentication key

A continuación rellene el formulario

El campo Allowed IPs puede usarlo si quiere añadir una capa más de seguridad. El usuario solo podrá hacer uso de esa auth key cuando se encuentre en alguna de las redes permitidas (por ejemplo: solo desde la red de la oficina). En caso de querer cualquier red, introduzca 0.0.0.0/0 para permitir todas las redes (no restringir por IP).

El campo Expiration sirve para dar una fecha de finalización a dicha Auth key, como será el usuario para automatizaciones y no queremos que estas fallen, lo dejaremos vacio.

El campo Read Only, no lo marcaremos, ya que nos interesará que el usuario de automatizaciones pueda cambiar datos, ejecutar acciones como la de descarga de feeds.

Pulse en Submit, se le mostrará la API Key. Guardela puesto que no podrá volver a visualizarla, en caso de perdida deberá crear una nueva.

Configurar listado de feeds

Acceda a el listado de feeds proporcionado por MISP, copie el contenido del fichero JSON.

En el sistema MISP, en el menú principal seleccione Sync Actions > Feeds

En el menú lateral encontrará una opción llamada Import Feeds from JSON

En el campo de texto pegue el contenido del fichero JSON copiado anteriormente y pulse en el botón Add

De nuevo en Feeds, seleccione todos y pulse en Enable Selected, deberá repetirlo en todas las páginas de feeds.

Finalmente, pulse en el botón Fetch and store all feed data para iniciar la descarga de los IOC.

Automatizar la descarga de feeds

Ahora que ya dispone de usuario para automatizaciones con su API Key, puede crear una tarea programada que lance la petición de actualización de los IOC usando la API.

/usr/bin/curl -XPOST --insecure \
	--header "Authorization: YOUR_API_KEY" \
	--header "Accept: application/json" \
    --header "Content-Type: application/json" \
    https://IP_MISP:PORT/feeds/fetchFromAllFeeds

Esto lanzará una tarea en segundo plano que se encargará de realizar la descarga de los feeds.

Ahora tan solo debe añadirla a un cron en cualquiera de las máquinas desde las que ha permitido la IP con la configuración de cada cuanto quiere que sea ejecutada la actualización de dichos feeds.

Back to top