参考:https://github.com/MISP/MISP
MISP,恶意软件信息共享平台和威胁共享是一个开源软件解决方案,用于收集,存储,分发和共享网络安全指标,并对网络安全事件分析和恶意软件分析构成威胁。
MISP由事件分析师,安全和ICT专业人员或恶意软件逆向设计,以支持他们的日常操作,以有效地分享结构化信息。
MISP的目标是促进在安全界和国外分享结构化信息。
MISP提供了支持信息交换的功能,但也支持网络检测入侵系统(NIDS),LIDS的信息消耗,也支持日志分析工具SIEM。
MISP,恶意软件信息共享平台和威胁共享,核心功能有:
一个
**高效的IOC和指标
**数据库,可以存储有关恶意软件样本,事件,攻击者和智能的技术和非技术信息。
自动
**相关
**查找恶意软件的属性和指标之间的关系,攻击活动或分析。
内置的
**共享功能
**,可以使用不同的发行
**版本
**来简化数据共享。
MISP可以自动同步不同MISP之间的事件和属性。
高级过滤功能可用于满足每个组织共享策略,包括
**灵活的共享组
**容量和属性级分布机制。
一个
**直观的用户界面
**为最终用户创建,更新和活动合作和属性/指标。
一个
**图形界面
**,用于在事件及其相关性之间
**无缝
**导航。
高级过滤功能和
[警告列表
](https://github.com/MISP/misp-warninglists),以帮助分析人员提供事件和属性。
**
**以结构化格式
**存储数据
**(允许自动使用数据库进行各种目的),广泛支持沿着金融部门的欺诈指标的网络安全指标。
**导出
**:生成IDS,OpenIOC,纯文本,CSV,MISP XML或JSON输出以与其他系统(网络IDS,主机IDS,自定义工具),STIX(XML和JSON),NIDS导出(Suricata,Snort和Bro)或RPZ区。
许多其他格式很容易通过
[misp模块
](https://github.com/MISP/misp-modules)添加
。
**导入
**:批量导入,批量导入,从OpenIOC导入,GFI沙箱,ThreatConnect CSV。
许多其他格式很容易通过
[misp模块
](https://github.com/MISP/misp-modules)添加
。
灵活的
**自由文本导入
**工具,以便将非结构化报告整合到MISP中。
一个温和的系统来
**协调
**事件和属性,允许MISP用户提出对属性/指标的更改或更新。
**数据共享
**:使用MISP自动与其他方和信任组进行交换和同步。
**委派共享
**:允许简单的伪匿名机制将事件/指标的发布委托给另一个组织。
灵活的
**API
**将MISP与您自己的解决方案相集成。
MISP与
[PyMISP
](https://github.com/MISP/PyMISP)捆绑在一起,
它是一个灵活的Python库,用于获取,添加或更新事件属性,处理恶意软件样本或搜索属性。
**可调整的分类法
**,按照您自己的分类方案或
[现有
](https://github.com/MISP/misp-taxonomies)分类对事件进行分类和标记
。
分类法可以是MISP的本地化,但也可以在MISP实例之间共享。
**扩展模块在Python
**中扩展MISP与您自己的服务或激活已经可用的
[错误模块
](https://github.com/MISP/misp-modules)。
**
**观察
**支持
**,从组织获取关于共同指标和属性的意见。
瞄准
[可以
](https://www.circl.lu/doc/misp/automation/index.html#sightings-api)通过MISP用户界面,API作为MISP文件或STIX瞄准文件。
**STIX支持
**:以STIX格式导出数据(XML和JSON)。
[MISP-STIX-Converter
](https://github.com/MISP/MISP-STIX-Converter)或
[MISP-Taxii-Server
](https://github.com/MISP/MISP-Taxii-Server)支持额外的STIX导入和导出
。
**根据用户偏好,
**通过PGP和/或S / MIME
**对通知
**进行
**集成加密和签名
**。
交换信息可以
*更快地发现
*目标攻击,并提高检测率,同时减少误报。
我们也避免扭转类似的恶意软件,因为我们非常了解已经分析了特定恶意软件的其他团队或组织。