¿Qué es un IoC?
Un indicador de compromiso (IoC) es un término forense que se refiere a las pruebas en las que un dispositivo ha obtenido una brecha de seguridad. Estos datos se recopilan tras un incidente sospechoso, un evento de seguridad o llamadas de red inesperadas.
Ejemplos comunes de IoCs incluyen direcciones IP, nombres de dominio, hashes de archivos, URLs y otros.
¿Qué es un evento?
En el contexto de este producto, un evento es un agrupamiento de indicadores de compromiso (IoCs) que están relacionados entre sí de acuerdo con algún criterio. El criterio específico usado para estos agrupamientos puede variar, y es definido por el creador del evento. Por ejemplo, el equipo de investigación de Axur (ART) puede crear un evento agrupando todos los IoCs relacionados con una campaña de malware.
¿Qué puedo hacer con los IoC?
Comprobarlos regularmente es una práctica fundamental para mejorar la ciberseguridad y prevenir posibles ataques. Utilizando los IoC, es posible desarrollar herramientas más inteligentes que puedan identificar y aislar archivos o actividades sospechosas que puedan suponer una amenaza.
Pueden servir como piezas importantes de información para la seguridad de la información y los miembros del equipo de TI para detectar actividades maliciosas en la red en una etapa temprana, lo que les permite detener posibles ataques antes de que puedan comprometer toda la red.
También pueden ayudar a prevenir futuros ataques, añadiéndoles a controles de seguridad como cortafuegos y sistemas de detección de intrusiones. Los IoC pueden integrarse con un gran número de herramientas y plataformas como MISP, SIEMs, SOAR, XDR y otras.
Los IoC pueden y deben usarse no solo en ciberseguridad, sino también en procesos antifraude. Para ello, los IoC no técnicos, como un CPF (número de identificación brasileño), por ejemplo, pueden ser muy útiles.
¿Cómo puede ayudar Axur con los IoC?
Puede solicitar investigación con el equipo ART para solicitar ayuda con integraciones o investigaciones.
Tags IoC
Las tags se utilizan para ayudar a categorizar los IoC, son añadidas por sus creadores y no pueden ser editadas.
¿Cuáles son los tipos de IoC?
Los tipos IoC son categorías como direcciones IP, nombres de dominio, hashes de archivos y URL.
¿Cuáles son las fuentes utilizadas para crear el feed de IoCs?
El feed de IoC de Axur se actualiza automáticamente a través de los boletines creados dentro del entorno de Cyber Threat Intel (CTI). Nuestra plataforma integra inteligencia de múltiples fuentes abiertas y propietarias, cuidadosamente seleccionadas por el Equipo de Investigación de Axur (ART).
Además de los boletines internos, utilizamos recolectores automáticos que extraen IoCs de diversas fuentes especializadas de inteligencia de amenazas, incluidos repositorios públicos de malware, campañas de ransomware y URLs maliciosas.
¿Cómo configurar MISP?
Importe Indicadores de Compromiso (IoCs) desde la plataforma de Inteligencia de Amenazas de Axur a su instancia de MISP.
MISP no cuenta con soporte nativo estable para consumir datos directamente desde servidores TAXII 2.x.
Para integrar los IoCs proporcionados por Axur a través de la API STIX/TAXII, recomendamos usar un script personalizado que recopile e importe los datos de forma periódica.
Requisitos previos
Python 3.7+
Acceso a una instancia de MISP
Token de la API TAXII de Axur
Descargar el archivo axur_ioc_misp_importer.py
Instalación
# Install required packages
pip install pymisp taxii2-client
# Permissions
chmod +x axur_ioc_misp_importer.py
Uso
Importación básica (Todos los IoCs)
python3 axur_ioc_misp_importer.py \
--misp-url https://your-misp.local \
--misp-key YOUR_MISP_API_KEY \
--axur-token YOUR_AXUR_TOKEN
Importar solo los últimos 7 días
python3 axur_ioc_misp_importer.py \
--misp-url https://your-misp.local \
--misp-key YOUR_MISP_API_KEY \
--axur-token YOUR_AXUR_TOKEN \
--days-back 7
Importar con límite
python3 axur_ioc_misp_importer.py \
--misp-url https://your-misp.local \
--misp-key YOUR_MISP_API_KEY \
--axur-token YOUR_AXUR_TOKEN \
--limit 1000
Umbral de confianza personalizado
python3 axur_ioc_misp_importer.py \
--misp-url https://your-misp.local \
--misp-key YOUR_MISP_API_KEY \
--axur-token YOUR_AXUR_TOKEN \
--confidence 70
Importaciones automáticas (Cron)
Agregar al crontab para importaciones diarias:
# Edit crontab
crontab -e
# Add: Import daily at 2 AM, last 24 hours only
0 2 * * * /usr/bin/python3 /path/to/axur_ioc_misp_importer.py --misp-url https://misp.local --misp-key KEY --axur-token TOKEN --days-back 1
Tipos de IoC compatibles
Direcciones IP (IPv4/IPv6)
Nombres de dominio
URLs
Hashes de archivos (MD5, SHA1, SHA256)
Direcciones de correo electrónico
Configuración
Edite el script para personalizar:
DEFAULT_TAGS: Etiquetas aplicadas a todos los eventos importados
DEFAULT_CONFIDENCE_THRESHOLD: Umbral de bandera IDS
IOC_TYPE_MAPPING: Tipos de atributos y categorías de MISP
Si tienes cualquier duda, puedes contactarnos en [email protected] 😊