The Cyber Threat Detection and Alert System Using MISP Threat Sharing Database

Abstract

This research aims to develop a prototype system for detecting and alerting cyber threats using data from MISP Threat Sharing combined with Logstash and OpenSearch tools. The goal is to help organizations, especially small-sized ones, respond to cyber threats quickly and accurately. The system consists of four main components: (1) storing and preparing Blacklist IP Address data from the MISP Threat Sharing database, (2) forwarding Log Traffic data from the FortiGate 50E Firewall to Logstash for processing, (3) analyzing IP Address data with the addition of tags to identify whether they are Blacklist IP Addresses or Non-Blacklist IP Addresses, and (4) displaying data and issuing alerts via OpenSearch.The developed system can assist small organizations in reducing the costs of purchasing expensive security equipment and enhance their ability to effectively handle cyber threats.

งานวิจัยนี้มีวัตถุประสงค์เพื่อพัฒนาระบบต้นแบบสำหรับ ตรวจจับและแจ้งเตือนภัยไซเบอร์ โดยอาศัยฐานข้อมูลจาก MISP Threat Sharing ร่วมกับเครื่องมือ Logstash และ OpenSearch เพื่อช่วยให้องค์กร โดยเฉพาะองค์กรขนาดเล็ก สามารถตอบสนองต่อภัยคุกคามทางไซเบอร์ได้อย่างรวดเร็วและแม่นยำ ระบบประกอบด้วย 4 ส่วนหลัก ได้แก่ (1) การจัดเก็บและเตรียมข้อมูล Blacklist IP Address จากฐานข้อมูล MISP Threat Sharing (2) การส่งข้อมูล Log Traffic จาก Firewall FortiGate 50E ไปยัง Logstash เพื่อประมวลผล (3) การวิเคราะห์ข้อมูล IP Address พร้อมการเพิ่ม Tag ระบุสถานะว่าเป็น Blacklist IP Address หรือ Non-Blacklist IP Address และ (4) การแสดงผลข้อมูลและแจ้งเตือนภัยผ่าน OpenSearchระบบที่พัฒนาขึ้นนี้สามารถช่วยให้องค์กรขนาดเล็กลดค่าใช้จ่ายในการจัดซื้ออุปกรณ์ด้านความปลอดภัยราคาแพง และเพิ่มความสามารถในการรับมือภัยคุกคามไซเบอร์ได้อย่างมีประสิทธิภาพ