来源:https://github.com/MISP/MISP
https://www.circl.lu/doc/misp/
MISP是一个开源软件解决方案,用于收集、存储、分发和共享网络安全指标和网络安全事件分析和恶意软件分析的威胁。MISP由事件分析人员、安全和ICT专业人员或恶意软件逆向人员设计,用于支持他们的日常操作,以有效地共享结构化信息。
MISP的目标是促进安全社区内外的结构化信息共享。MISP提供了支持信息交换的功能,还支持网络入侵检测系统(NIDS)、LIDS和日志分析工具SIEMs消耗这些信息。
MISP,恶意软件信息共享平台和威胁共享,核心功能有:
(1)一个有效的IOC和指标数据库,允许存储有关恶意软件样本、事件、攻击者和情报的技术和非技术信息。
(2)从恶意软件、攻击活动或分析中自动找到属性和指标之间的关系。关联引擎包括属性之间的关联和更高级的关联,如模糊哈希关联(如ssdeep)或CIDR块匹配。每个属性还可以启用或禁用关联。
(3)一个灵活的数据模型,其中复杂的对象可以表达和连接在一起,以表达威胁情报,事件或连接的元素。
(4)内置的共享功能,以方便使用不同模型的分布数据共享。MISP可以自动同步不同MISP实例之间的事件和属性。高级过滤功能可用于满足每个组织的共享策略,包括灵活的共享组容量和属性级分发机制。
(5)一个直观的用户界面,供最终用户创建、更新和协作的事件和属性/指标。一个图形界面,可以在事件及其相关性之间无缝导航。事件图功能,用于创建和查看对象和属性之间的关系。高级过滤功能和警告列表,以帮助分析人员贡献事件和属性,并限制误报的风险。
(6)以结构化格式存储数据(允许出于各种目的自动使用数据库),并广泛支持网络安全指标以及金融领域的欺诈指标。
(7)导出:生成IDS、OpenIOC、纯文本、CSV、MISP XML或JSON输出,以便与其他系统(网络IDS、主机IDS、自定义工具)、缓存格式(用于取证工具)、STIX (XML和JSON) 1和2、NIDS导出(Suricata、Snort和Bro/Zeek)或RPZ区域集成。可以通过misp模块轻松添加许多其他格式。
(8)导入:大批量导入、批量导入、从OpenIOC、GFI沙箱、ThreatConnect CSV、MISP标准格式或STIX 1.1/2.0导入。许多其他格式很容易通过misp模块添加。
(9)灵活的免费文本导入工具,以方便将非结构化的报告集成到MISP中。
(10)一个温和的系统在事件和属性上进行协作,允许MISP用户对属性/指标提出更改或更新。
(11)数据共享:使用MISP与其他方和信任组自动交换和同步。
(12)委托共享:允许一个简单的伪匿名机制将事件/指示器的发布委托给另一个组织。
(13)灵活的API集成MISP与您自己的解决方案。MISP与PyMISP捆绑在一起,PyMISP是一个灵活的Python库,用于获取、添加或更新事件属性、处理恶意软件样本或搜索属性。一个详尽的restSearch API,可以方便地搜索MISP中的指示器,并将它们导出为MISP支持的所有格式。
(14)可调整的分类法,根据您自己的分类方案或现有的分类对事件进行分类和标记。分类法可以是MISP本地的,也可以在MISP实例之间共享。
(15)与现有的威胁角色、恶意软件、RAT、勒索软件或MITRE ATT&CK捆绑在一起的叫做MISP galaxy的情报词汇表。
(16)Python中的扩展模块,使用自己的服务扩展MISP或激活已经可用的MISP模块。
(17)瞄准支持从组织获得关于共享指标和属性的观察。可以通过MISP用户界面、作为MISP文档的API或STIX Sighting文档提供视力。
(18)STIX支持:以STIX版本1和版本2的格式导入和导出数据。
(19)根据用户的偏好,通过GnuPG和/或S/MIME集成对通知的加密和签名。
(20)MISP中的实时发布-订阅通道,自动获取ZMQ(例如,MISP -dashboard)或Kafka发布中的所有更改(例如,新事件、指示器、视图或标记)。
(21)交换信息可以更快地检测出目标攻击,提高检测率,同时减少误报。我们也避免逆向类似的恶意软件,因为我们很快就知道其他团队或组织已经分析了特定的恶意软件。
MISP中编码的一个示例事件: