Por Moacir Araújo Candido Bezerra
No desenvolvimento das atividades diárias do time de plataforma do Centro de Operações de Segurança (SOC) da Tempest, foi detectado um conjunto de desafios no processo de coleta da informação e correlação dentro da solução SIEM para os seus clientes. Dentro desse contexto existiam outras dificuldades, tais como: controle de falsos positivos, confiabilidade dos Indicadores de Comprometimento (IoC), alto volume de requisições para o servidor do MISP, baixo desempenho na execução de casos de uso na solução do SIEM, entre outros.
Percebendo essa oportunidade, os pesquisadores do time de plataforma do SOC da Tempest desenvolveram a ferramenta MISP Broker como resposta e solução a este conjunto de dificuldades e desafios supracitados, assim como ainda pudesse contribuir com a comunidade de segurança que também se deparam com os mesmos obstáculos.
Resumidamente, a principal contribuição na utilização desta ferramenta por analistas de segurança é a obtenção do controle de eventos correlacionados, como informações desatualizadas, bem como a possibilidade de enriquecerem o MISP com Indicadores de Comprometimento, remoção de falsos positivos e todas essas ações refletidas diretamente no SIEM.
A ferramenta MISP Broker foi desenvolvida em Python 3+, usando SQLite como base de dados e ShellScript para gerenciamento dos serviços da ferramenta. Entre suas principais funcionalidades, podemos destacar:
- Sincronização de base de dados IoC, MISP e SIEM;
- Controle de falsos positivos e sightings;
- Controle do tempo de vida do IoC por tipo;
- Diminuição de dados correlacionados no SIEM;
- Geração de conteúdo e exportação para ferramentas externas;
- Compatibilidade multiplataformas (QRadar e Splunk);
- Possibilidade de criação de listas de bloqueios globais;
Analistas de segurança interessados no uso da ferramenta MISP Broker podem ter acesso ao utilitário desenvolvido pelo time da Tempest através do acesso ao repositório do GITHub pela URL abaixo e também ao seu Manual de Uso:
https://github.com/tempestsecurity/MISP-Broker