MISP(核心软件) - 开源威胁情报和共享平台(以前称为恶意软件信息共享平台)
MISP是一种开源软件解决方案,用于收集,存储,分发和共享有关网络安全事件分析和恶意软件分析的网络安全指标和威胁。 MISP由事件分析师,安全和ICT专业人员或恶意软件逆转器设计,以支持他们的日常运营,以有效地共享结构化信息。
MISP的目标是促进安全社区和国外的结构化信息共享。 MISP提供支持信息交换的功能,但也提供网络入侵检测系统(NIDS),LIDS以及日志分析工具SIEM对所述信息的消费。
交换信息可以更快地检测到目标攻击并提高检测率,同时减少误报。 我们还避免扭转类似的恶意软件,因为我们非常清楚其他团队或组织已经分析了特定的恶意软件。
MISP 一个事件编码示例
MISP 意软件信息共享平台和威胁共享平台的核心功能包括:
- 高效的IOC和指标数据库,允许存储有关恶意软件样本,事件,攻击者和情报的技术和非技术信息。
- 自动关联查找来自恶意软件,攻击活动或分析的属性和指标之间的关系。相关引擎包括属性之间的相关性和更高级的相关性,例如模糊散列相关(例如ssdeep)或CIDR块匹配。也可以启用相关性或按属性禁用事件。
- 灵活的数据模型,可以表达复杂对象并将其链接在一起,以表达威胁情报,事件或连接元素。
- 内置共享功能,可使用不同的分发模型简化数据共享。 MISP可以自动同步不同MISP实例之间的事件和属性。高级过滤功能可用于满足每个组织的共享策略,包括灵活的共享组容量和属性级别分配机制。
- 直观的用户界面,供最终用户创建,更新和协作处理事件和属性/指标。一个图形界面,可以在事件及其相关性之间无缝导航。用于创建和查看对象与属性之间关系的事件图功能。高级过滤功能和警告列表,可帮助分析人员提供事件和属性,并限制误报风险。
- 以结构化格式存储数据(允许自动使用数据库用于各种目的),同时广泛支持欺诈指标中的网络安全指标,如金融部门。
- 导出:生成IDS,OpenIOC,纯文本,CSV,MISP XML或JSON输出以与其他系统集成(网络IDS,主机IDS,自定义工具),缓存格式(用于取证工具),STIX(XML和JSON)1和2,NIDS出口(Suricata,Snort和Bro / Zeek)或RPZ区域。可以通过misp-modules轻松添加许多其他格式。
- 导入:批量导入,批量导入,从OpenIOC导入,GFI沙箱,ThreatConnect CSV,MISP标准格式或STIX 1.1 / 2.0。许多其他格式通过misp-modules轻松添加。
- 灵活的自由文本导入工具,可简化非结构化报告与MISP的集成。
- 一个温和的系统,用于协作处理事件和属性,允许MISP用户建议对属性/指标进行更改或更新。
- 数据共享:使用MISP自动与其他方和信任组进行交换和同步。
- 委托共享:允许一个简单的伪匿名机制将事件/指标的发布委托给另一个组织。
- 灵活的API,可将MISP与您自己的解决方案集成。 MISP与PyMISP捆绑在一起,PyMISP是一个灵活的Python库,用于获取,添加或更新事件属性,处理恶意软件样本或搜索属性。详尽的restSearch API,可轻松搜索MISP中的指标,并以MISP支持的所有格式导出。
- 可调整的分类法,根据您自己的分类方案或现有分类对事件进行分类和标记。分类法可以是您的MISP的本地分类,但也可以在MISP实例之间共享。
- 智能词汇称为MISP galaxy,与现有的威胁演员,恶意软件,RAT,勒索软件或MITER ATT&CK捆绑在一起,可以轻松地与MISP中的事件和属性相关联。
- Python中的扩展模块,可以使用您自己的服务扩展MISP或激活已有的misp-modules。
- 瞄准支持以获得组织关于共享指标和属性的观察。瞄准可以通过MISP用户界面,API作为MISP文档或STIX目击文档来提供。
- STIX支持:以STIX版本1和版本2格式导入和导出数据。
- 通过GnuPG和/或S / MIME对通知进行集成加密和签名,具体取决于用户的首选项。
- MISP内的实时发布 - 订阅频道,以自动获取ZMQ(例如misp-dashboard)或Kafka发布中的所有更改(例如,新事件,指示符,目击或标记)。
评论