8.6.4. Configuration de la connexion au MISP

8.6.4.1. Introduction

Cette procédure indique comment configurer la connexion avec un serveur MISP présent dans l'infrastructure.
Le connecteur MISP permet d'apporter des IOC directement depuis un MISP vers le GCenter sous forme de règles.
Depuis le GCenter, ces règles peuvent être incluses dans un ruleset et donc être envoyées au GCap.
Ce connecteur permet de rajouter une source de threat intelligence de qualité tout en respectant les consignes de l'ANSSI sur la qualification des signatures.
La configuration MISP est rajoutée dans le menu Sigflow dans un nouveau menu `MISP` visible uniquement après activation de la configuration puis sauvegarde de celle-ci.

8.6.4.2. Liens associés

Pour plus d'informations, voir l'Interconnexion avec les systèmes externes.
L'interface graphique est décrite dans l'Ecran `MISP settings`.

8.6.4.3. Prérequis

  • Utilisateur : membre du groupe Administrator

8.6.4.4. Opérations préliminaires

8.6.4.5. Procédure d’accès à la fenêtre `MISP settings`

../../_images/GCE103_MENUBAR.PNG

  • Dans l’interface GCenter, cliquer sur le menu `Administration` (3).

  • Cliquer sur la commande `MISP` dans le sous-menu `Third party`.
    La fenêtre `MISP` s’affiche.

8.6.4.6. Procédure pour configurer la connexion

../../_images/GCE103_MIPS-1.PNG

  • Utiliser le sélecteur `Enabled` (3) pour activer l’interconnexion (2).

  • Si nécessaire, utiliser le sélecteur `TLS check` (8).

  • Entrer les paramètres de la zone `Network` (4) :

    • Sélectionner le protocole de communication (5) à utiliser pour contacter l’instance MISP : deux options sont possibles ('https' et 'http')

    • Entrer le port d’écoute (6)

    • Sélectionner l’interface réseau GCenter (7) à laquelle se connecter

  • Saisir les paramètres MISP Cible (9) :

    • Saisir le FQDN ou l’adresse IP (10) de l’instance MISP

    • Saisir la clé API (11) de l’instance MISP

  • Si nécessaire, saisir les paramètres de proxy (12) :

    • utiliser le sélecteur `Enabled` (13)

    • Saisir l’adresse du Proxy (14).

    • Entrez le port d’écoute (15).

  • Cliquer sur le bouton `Save changes` (17).
    Le sous-menu `MISP` du menu `Sigflow` est maintenant disponible pour les membres du groupe `operator`.
    Il est donc possible de choisir une mise à jour manuelle ou automatique.