MISP 开源威胁情报共享平台 共享全球网络安全威胁指标

MISP 开源威胁情报共享平台 共享全球网络安全威胁指标

MISP介绍

MISP(Malware Information Sharing Platform and Threat Sharing)

MISP 是一个开源软件解决方案,用于收集、存储、分发和共享有关网络安全事件分析和恶意软件分析的网络安全指标和威胁。MISP 由事件分析师、安全和 ICT 专业人员或恶意软件逆向者设计并为他们设计,以支持他们的日常操作,以有效地共享结构化信息。

MISP 的目标是促进安全社区内部和国外的结构化信息共享。MISP 提供的功能不仅支持信息交换,而且还支持网络入侵检测系统 (NIDS)、LIDS 以及日志分析工具、SIEM 对所述信息的使用。

MISP,恶意软件信息共享平台和威胁共享

核心功能:

  • 一个高效的 IOC 和指标数据库,允许存储有关恶意软件样本、事件、攻击者和情报的技术和非技术信息。
  • 自动关联查找来自恶意软件、攻击活动或分析的属性和指标之间的关系。关联引擎包括属性之间的关联和更高级的关联,例如模糊散列关联(例如 ssdeep)或 CIDR 块匹配。每个属性也可以启用或禁用相关性。
  • 一种灵活的数据模型,可以在其中表达复杂的对象并将其链接在一起以表达威胁情报、事件或连接的元素
  • 内置共享功能,可简化使用不同分布模型的数据共享。MISP 可以在不同的 MISP 实例之间自动同步事件和属性。高级过滤功能可用于满足每个组织的共享策略,包括灵活的共享组容量和属性级别分布机制。
  • 一个直观的用户界面,供最终用户创建、更新和协作处理事件和属性/指标。用于在事件及其相关性之间无缝导航的图形界面。用于创建和查看对象和属性之间关系的事件图功能。高级过滤功能和警告列表可帮助分析师贡献事件和属性并限制误报的风险。
  • 以结构化格式存储数据(允许出于各种目的自动使用数据库),并广泛支持网络安全指标以及金融部门的欺诈指标。
  • 导出:生成 IDS、OpenIOC、纯文本、CSV、MISP XML 或 JSON 输出以与其他系统集成(网络 IDS、主机 IDS、自定义工具)、缓存格式(用于取证工具)、STIX(XML 和 JSON)1 和2、NIDS 出口(Suricata、Snort 和 Bro/Zeek)或 RPZ 区。许多其他格式可以通过misp-modules轻松添加。
  • 导入:批量导入、批量导入、从 OpenIOC、GFI 沙箱、ThreatConnect CSV、MISP 标准格式或 STIX 1.1/2.0 导入。许多其他格式可以通过misp-modules轻松添加。
  • 灵活的自由文本导入工具,可轻松将非结构化报告集成到 MISP。
  • 一个在事件和属性上进行协作的温和系统,允许 MISP 用户提出对属性/指标的更改或更新。
  • 数据共享:使用 MISP 与其他方和信任组自动交换和同步。
  • 共享委托:允许简单的伪匿名机制将事件/指标的发布委托给另一个组织。
  • 灵活的API可将 MISP 与您自己的解决方案集成。MISP 与PyMISP捆绑在一起,后者是一个灵活的 Python 库,用于获取、添加或更新事件属性、处理恶意软件样本或搜索属性。一个详尽的 restSearch API,可轻松搜索 MISP 中的指标并以 MISP 支持的所有格式导出这些指标。
  • 可调整的分类法以按照您自己的分类方案或现有分类对事件进行分类和标记。分类可以是您的 MISP 本地的,但也可以在 MISP 实例之间共享。
  • 称为 MISP 星系的情报词汇与现有的威胁参与者、恶意软件、RAT、勒索软件或 MITRE ATT&CK捆绑在一起,可以很容易地与 MISP 中的事件和属性相关联。
  • Python中的扩展模块以使用您自己的服务扩展 MISP 或激活已经可用的 misp-modules
  • 目击支持从组织获得有关共享指标和属性的观察。瞄准可以通过 MISP 用户界面、API 作为 MISP 文档或 STIX 瞄准文档来提供。
  • STIX 支持:以 STIX 版本 1 和版本 2 格式导入和导出数据。
  • 根据用户的偏好,通过 GnuPG 和/或 S/MIME对通知进行集成加密和签名。
  • MISP 中的实时发布-订阅通道自动获取 ZMQ(例如misp-dashboard)或 Kafka 发布中的所有更改(例如新事件、指标、目击或标记)。

交换信息可以更快地检测到有针对性的攻击,并提高检测率,同时减少误报。我们还避免逆转类似的恶意软件,因为我们很快就知道其他团队或组织已经分析了特定的恶意软件。

MISP 开源威胁情报共享平台 共享全球网络安全威胁指标

在 MISP 中编码的示例事件:

MISP 开源威胁情报共享平台 共享全球网络安全威胁指标

misp下载地址

名称最后修改大小描述
父目录  
[目录]校验和/1个月前 
[父目录]父目录  
[目录]校验和/1个月前 
[TXT][email protected]1个月前819GZIP 压缩存档
[TXT][email protected]1个月前819 
[TXT]验证.txt1个月前4.4K纯文本文件
[ ][email protected]1个月前2.7GGZIP 压缩存档
[ ][email protected]1个月前3.1G 
MISP 开源威胁情报共享平台 共享全球网络安全威胁指标

安装方法

下载虚拟机运行

[email protected]

登录 MISP

MISP 默认密码:

用户名:[email protected]
密码:admin

我忘记了我的管理员密码:(

您可以通过命令行快速重置它。您需要知道管理员电子邮件地址。将 www-data 替换为运行网络服务器的人。

sudo -u www-data /var/www/MISP/app/Console/cake Password [email protected] Password1234

详细的使用方法自行参考官方文档:https://www.circl.lu/doc/misp/

MISP 开源威胁情报共享平台 共享全球网络安全威胁指标

项目地址

GitHub:https://github.com/MISP/MISP

官网地址:

https://www.misp-project.org/

MISP使用手册

https://www.circl.lu/doc/misp/

转载请注明出处及链接

Leave a Reply

您的电子邮箱地址不会被公开。