Aviso Legal Importante: Esta integração envia dados da Plataforma Axur para uma plataforma externa (MISP), que pode ser hospedada em infraestrutura de terceiros.
É sua responsabilidade:
Verificar se o envio de dados para plataformas externas está em conformidade com as políticas, regulamentações e requisitos de proteção de dados da sua organização
Garantir que a instância MISP e quaisquer serviços a jusante (downstream) atendam aos seus padrões de segurança e conformidade
Revisar as práticas de tratamento, armazenamento e processamento de dados de todas as plataformas externas usadas em seus fluxos de trabalho
Obter as aprovações e autorizações necessárias antes de implementar esta integração
A Axur não se responsabiliza pelas práticas de tratamento de dados, segurança ou conformidade de plataformas externas. Use esta integração por sua conta e risco e garanta que ela esteja alinhada com suas obrigações legais e regulatórias.
A Plataforma Axur monitora e detecta continuamente ameaças aos seus ativos digitais. Com os Feeds Pull, você pode importar automaticamente essas detecções como IOCs (Indicadores de Compromisso) para o MISP, permitindo que você aproveite a inteligência de ameaças da Axur em suas operações de segurança.
Ao conectar as detecções da Axur ao MISP, você pode maximizar o valor da inteligência da Axur, integrando-a aos seus fluxos de trabalho de inteligência de ameaças e ferramentas de segurança existentes.
1) Criar o Feed da Plataforma Axur
Crie uma Chave de API e um Feed de IOC com o modo de entrega Pull diretamente na Plataforma Axur. Mantenha ambos os valores à mão para as próximas etapas.
Gerar uma Chave de API
Na Plataforma Axur, vá para configuração de Chaves de API.
Crie uma nova chave de API e copie o valor da Chave de API de forma segura.
Observação: O feed retorna apenas os dados aos quais o usuário da chave de API tem permissão de acesso.
Capturas de tela:
Criar o Feed de IOC com o modo de entrega Pull
Na Plataforma Axur, vá para API & Integrations → Feeds.
Clique em Adicionar Feed para criar um novo feed.
Você verá uma lista de modelos de feed. Para feeds de IOC, você pode selecionar “Todas as detecções de IOC” ou pular os modelos para configurar manualmente.
Selecionando modelo de feed na Plataforma Axur
Escolha o modo de entrega. Selecione Feeds Pull (você solicita dados chamando a URL do feed). Isso é perfeito para integrações agendadas como o MISP.
Selecionando o modo de entrega Pull
Configure as definições do feed:
Tipo de Feed: Certifique-se de que esteja definido como IOC (Indicadores de Compromisso)
Parâmetros (opcional): Você pode adicionar filtros aqui, por exemplo: type=file&confidence=high para filtrar por tipo de IOC e nível de confiança
Título do Feed (opcional): Dê-lhe um nome descritivo (por exemplo, “Exemplo para integrar no MISP apenas os IOCs do tipo arquivo e alta confiança”)
Data de início: Defina o intervalo de datas se quiser importar IOCs históricos
Configure quaisquer outros filtros que você precisar (tipo, confiança, intervalo de datas, etc.)
Configurando parâmetros do feed IOC
Após salvar, o feed irá gerar uma URL do Feed. Esta URL é o que o MISP usará para buscar os IOCs.
Importante: Configure o formato CSV para o MISP
Para obter o formato CSV que o MISP requer, você precisa anexar o parâmetro de consulta
format=csvà URL do feed. A URL completa deve ser semelhante a:https://your-axur-instance.com/api/feeds/your-feed-id?format=csvVocê pode ver a URL com o parâmetro
format=csvjá adicionado na página de detalhes do feed. Copie esta URL completa (incluindo o parâmetroformat=csv) - você precisará dela ao configurar o MISP na próxima etapa.
URL do Feed com parâmetro de formato CSV
Daqui em diante (Etapa 2+), toda a configuração é realizada no MISP.
Etapa 2: Configurar o Feed MISP
Agora configure o MISP para buscar IOCs do Feed Pull da Axur.
No MISP, navegue até Feeds (geralmente em “Sync Actions” ou “Feeds” no menu de navegação)
Clique em Adicionar Feed ou Novo Feed
Configure o feed com as seguintes definições:
Nome: Dê um nome descritivo (por exemplo, “Integração Axur IOC”)
Provedor: Digite “Axur” ou o nome do seu provedor preferido
Fonte de Entrada: Selecione Rede
URL: Cole a URL completa do Feed Axur (incluindo o parâmetro
format=csv) da etapa anteriorFormato da Fonte: Selecione Simple CSV Parsed Feed
Campo(s) de valor no CSV: Defina como 3 (a terceira coluna no CSV contém o valor do IOC)
Delimitador: Defina como ,
Quaisquer cabeçalhos a serem passados com as requisições: Adicione o cabeçalho de Autorização:
Authorization: Bearer YOUR_AXUR_API_KEYSubstitua
YOUR_AXUR_API_KEYpela sua Chave de API Axur real.
Importante: O valor do cabeçalho deve incluir a palavra “Bearer” seguida por um espaço, e então sua chave de API. Por exemplo: Bearer axur_api_key_12345
i. Ativado: Marque esta caixa para ativar o feed
j. Configure quaisquer outras definições conforme necessário (Organização Criadora, Evento Alvo, etc.)
Configurando o feed MISP com todas as definições
Após configurar todas as definições e ativar o feed, o MISP agora buscará periodicamente os IOCs do feed da Axur.
Parte 2: Configurando o Agendamento do Feed
Por padrão, o MISP busca feeds uma vez por dia. Para atualizações de IOC mais rápidas da Axur, você pode configurar um agendamento mais frequente.
Etapa 3: Configurar Tarefas Agendadas para Atualizações Mais Rápidas
Para acelerar a importação de IOCs e obter atualizações mais frequentes da Axur:
No MISP, navegue até Tarefas Agendadas (geralmente em “Administration” ou “Server Settings”)
Clique em Adicionar tarefa agendada para criar uma nova tarefa agendada
Configure a tarefa da seguinte forma:
Tipo: Selecione Feed
Ação: Selecione Buscar
Feed: Selecione seu feed da Axur (por exemplo, “Integração Axur IOC”)
Usuário: Selecione a conta de usuário que executará a tarefa
Executa a cada: Defina a frequência (por exemplo, 10 minuto(s))
Ativado: Marque esta caixa para ativar a tarefa agendada
Deixe Próxima Data de Execução e Próxima Hora de Execução em branco para execução imediata, ou defina-as para um horário específico
Configurando tarefa agendada para busca de feed
Isso garante que novos IOCs da Axur sejam importados para o MISP mais rapidamente (a cada 10 minutos neste exemplo), em vez de esperar pela busca diária padrão
Compreendendo a Paginação do Feed e o Comportamento de Importação
Como Funciona a Paginação do Feed Axur
O Feed da Axur fornece até 5.000 IOCs por busca. Importante, o feed lida automaticamente com a paginação:
Primeira Busca: Retorna os primeiros 5.000 IOCs
Segunda Busca: Retorna os próximos 5.000 IOCs (começando de onde a busca anterior terminou)
Buscas Subsequentes: Continua paginando por todos os IOCs disponíveis
O feed não retorna os mesmos IOCs em cada busca. Em vez disso, ele avança automaticamente por sua coleção de IOCs, garantindo que, com o tempo, todos os IOCs sejam eventualmente importados para o MISP.
Opções de Configuração do Feed
Ao configurar o feed na Plataforma Axur, você pode definir:
Tipo: Filtra IOCs por tipo (por exemplo, domínio, IP, URL)
Confiança: Filtra por nível de confiança
Intervalo de Datas: Seleciona IOCs de um intervalo de datas específico
Impacto da Seleção do Intervalo de Datas
Se você configurar o feed com um intervalo de datas que se estende muito ao passado, o feed fornecerá milhares de IOCs para importação. No entanto, como o feed entrega apenas 5.000 IOCs por busca:
Com Agendamento Padrão (uma vez por dia): Se você tiver 50.000 IOCs para importar, levará 10 dias para importar tudo (5.000 por dia)
Com Agendamento Mais Rápido (a cada 10 minutos): O processo de importação acelera significativamente, importando 5.000 IOCs a cada 10 minutos em vez de uma vez por dia
Recomendação: Se você estiver importando um grande conjunto de dados históricos, configure um agendamento mais frequente (conforme descrito na Parte 2) para acelerar o processo de importação. Assim que a importação histórica for concluída, você pode ajustar o agendamento para uma frequência mais razoável para atualizações contínuas.
Testes e Verificação
Verificar Conexão do Feed
No MISP, vá para a configuração do seu feed
Use o recurso Testar Conexão ou Pré-visualizar Feed para verificar se o MISP consegue se conectar com sucesso ao feed da Axur
Verifique se os IOCs estão visíveis na pré-visualização
Verificar Importação de IOCs
Após a execução do feed (acionado manualmente ou via tarefa agendada), verifique seus eventos MISP
Verifique se os IOCs da Axur estão aparecendo no MISP
Lembre-se: O número de IOCs no MISP pode ser menor do que o número retornado pela API devido à filtragem (conforme explicado na seção “Compreendendo o Comportamento de Importação de IOCs”)
Monitorar o Status do Feed
Verifique o status do feed no MISP para ver quando a última busca ocorreu
Revise quaisquer mensagens de erro se o feed falhar ao buscar
Verifique se o cabeçalho de Autorização está configurado corretamente caso encontre erros de autenticação
Importante: Compreendendo o Comportamento de Importação de IOCs
Antes de configurar a integração, é crucial entender que nem todos os IOCs retornados pela API do Feed Axur aparecerão necessariamente no MISP após a importação. Este é um comportamento esperado e não um problema de configuração.
Por que Alguns IOCs Podem Não Aparecer no MISP
Ao consultar a API do Feed Axur, você pode ver um certo número de IOCs (por exemplo, 5.000). No entanto, depois que o MISP busca e importa o feed, você pode ver menos IOCs (por exemplo, 4.800) em sua instância MISP. Essa diferença ocorre porque o MISP aplica suas próprias regras de validação e filtragem durante o processo de importação.
O MISP executa vários tipos de filtragem e validação com base em seus próprios critérios e configuração:
Detecção de Duplicatas: O MISP detecta e filtra automaticamente IOCs duplicados.
Validação de Formato: O MISP valida os formatos de IOC de acordo com suas próprias regras e padrões. IOCs que não estão em conformidade com as especificações de formato esperadas pelo MISP podem ser rejeitados durante a importação.
Validação de Valor: O MISP aplica regras de validação. IOCs que não atendem aos critérios de validação do MISP para seus respectivos tipos serão filtrados.
Listas de Alerta: Se as listas de alerta estiverem configuradas em sua instância MISP, os IOCs que correspondem a essas listas podem ser filtrados automaticamente.
Outros Filtros MISP: Dependendo da sua configuração MISP, filtros adicionais podem ser aplicados (por exemplo, regras específicas da organização, filtragem baseada em tags, etc.).
Como Verificar Este Comportamento
Você pode validar este comportamento através de:
Consulta de Feed Remoto: Ao consultar o feed remotamente através da pré-visualização de feed do MISP, o MISP mostrará os IOCs da API que passam suas verificações de validação iniciais.
Busca e Importação de Feed: Quando o MISP executa uma busca e baixa os IOCs para importação, ele aplica todas as regras de validação e filtragem de acordo com sua configuração, o que pode excluir alguns IOCs com base nos critérios acima.
Por que isso é importante: Se você perceber que sua API do Feed Axur retorna N IOCs, mas o MISP importa apenas um número menor, este é um comportamento esperado. A diferença representa os IOCs que o MISP filtrou com base em suas próprias regras de validação, detecção de duplicatas, listas de alerta ou outros filtros configurados. Esta é uma parte normal do processo de qualidade de dados e deduplicação do MISP, garantindo que apenas IOCs validados e relevantes sejam importados para sua plataforma de inteligência de ameaças de acordo com os padrões do MISP.
Resolução de Problemas
Feed Não Está Buscando
Verificar URL: Verifique se a URL do feed inclui o parâmetro
format=csvVerificar Autenticação: Certifique-se de que o cabeçalho de Autorização esteja formatado corretamente:
Bearer YOUR_API_KEYVerificar Rede: Verifique se o MISP consegue alcançar a URL da Plataforma Axur
Verificar Chave de API: Verifique se sua Chave de API Axur é válida e possui as permissões necessárias
IOCs Não Estão Aparecendo
Revisar Filtragem: Lembre-se de que o MISP filtra duplicatas, formatos inválidos e IOCs que não passam na validação
Verificar Status do Feed: Verifique se o feed está ativado e foi buscado com sucesso
Verificar Intervalo de Datas: Se você definiu um intervalo de datas, certifique-se de que ele inclui os IOCs que você espera
Revisar Logs do MISP: Verifique os logs do MISP em busca de erros ou avisos de importação
Importação Demorando Demais
Verificar Agendamento: Se estiver importando dados históricos, considere aumentar a frequência de busca (por exemplo, a cada 10 minutos em vez de diariamente)
Verificar Volume: Grandes importações históricas levarão tempo devido ao limite de 5.000 IOCs por busca
Monitorar Progresso: Verifique o status do feed para ver quantas buscas foram concluídas
Apêndice: Dicas e Melhores Práticas
Segurança: Sempre proteja suas chaves de API. Armazene-as com segurança e as rotacione periodicamente.
Filtragem do Feed: Configure filtros apropriados no feed da Axur para importar apenas os IOCs relevantes para seu caso de uso (por exemplo, tipos específicos, níveis de confiança, intervalos de datas).
Otimização do Agendamento: Equilibre a frequência de busca com os recursos do sistema. Buscas mais frequentes fornecem atualizações mais rápidas, mas consomem mais recursos.
Monitoramento: Monitore regularmente o status do feed e as taxas de sucesso de importação para garantir que a integração esteja funcionando corretamente.
Validação: Entenda que a validação e filtragem do MISP é um comportamento normal. Nem todos os IOCs da API aparecerão no MISP.
Importações Históricas: Para grandes importações históricas, use um agendamento mais frequente inicialmente, depois ajuste para uma frequência de manutenção quando estiver em dia.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊