MISP

In unserem letzten Beitrag MISP Updates und Notes haben wir gelernt, dass das cachen von Feeds allein für die Abfrage in Wazuh nicht reicht. Um die Feeds auch für die Integration in Wazuh durchsuchbar zu machen, müssen diese komplett gefetched werden. Automatisieren lässt sich das ganz einfach per Cronjob mit dem Kommando: Die Nummer 2 … Weiterlesen

Habe heute MISP von 2.5.7 auf 2.5.8 hochgezogen, so wie ich es schon in Update von MISP im 2.4 branch beschrieben habe. Die gecachten Feeds nur im Feedcache zu aktualisieren bringt für die Abfrage in Wazuh nichts. Man muss die kompletten Feed-Daten über den Button Fetch and store all feed data laden. Über Home -> … Weiterlesen

Den geringsten Aufwand bei der Installation von MISP 2.5 hat man mit Ubuntu 24.04 LTS. Es gibt zwar einige Anleitungen die auch mit 22.04 funktionieren wie hier: https://medium.com/@boristheblade1/installing-misp-2-5-and-basic-api-usage-ccfbee4177a9 Wer es aber nicht ganz so frickelig mag, macht das straight-forward mit Ubuntu 24.04. Ich habe dazu eine kleine VM bei Hetzner erstellt und mit dem Image … Weiterlesen

Beim Einrichten von Wazuh und MISP kann es am Anfang schon mal zu Schwierigkeiten kommen, da das Integrationsscript nicht wirklich gesprächig ist. Um hier etwas mehr Sichtbarkeit in MISP zu bekommen, lohnt es sich das auth debug zu aktivieren: Ganz einfach über Administration, Server Settings & Maintenance, MISP zu finden. Danach erscheinen die Abfragen über … Weiterlesen

Der Großteil alles Howtos im Netz findet man zu MISP 2.4 auf Ubuntu 22.04. Wenn ihr also diese Kombination installiert habt und 2.5 testen wollt, müsst ihr ein paar kleine Sachen beachten. Es gibt ein Update-Script was auch relativ zuverlässig funktioniert, allerdings nur mit Ubuntu 24.04! D.h. wir müssen erst einmal unsere Installation mit do-release-upgrade … Weiterlesen