MISP
Was ist MISP?
MISPMISP ist eine Open-Source-Threat-Intelligence-Plattform zum Sammeln, Speichern, Korrelieren und Teilen strukturierter Indikatoren und Analystenkontext innerhalb vertrauenswuerdiger Communities.
Die Malware Information Sharing Platform and Threat Sharing (MISP) ist eine weit verbreitete Open-Source-TIP, urspruenglich vom CIRCL entwickelt, die Intelligence als Events mit Attributes (IoCs), Objects, Galaxies und Tags speichert. Die Synchronisierung zwischen MISP-Instanzen ermoeglicht foederierten Austausch zwischen CERTs, ISACs und privaten Communities mit feingranularen Distributionsstufen und TLP-Labels. MISP unterstuetzt STIX 2.1, OpenIOC und eigene Feeds, exportiert IDS-fertige Signaturen (Suricata, Snort, Sigma) und integriert sich via API oder ZeroMQ in SIEM und EDR. Analysten nutzen es, um Sightings fallueberweifend zu korrelieren, Kampagnen mit MITRE ATT&CK zu taggen und Indikatoren reibungsarm zu operationalisieren.
● Beispiele
- 01
Ein nationales CERT teilt Ransomware-Indikatoren mit Sektor-Mitgliedern via foederierter MISP-Synchronisierung.
- 02
Export von Suricata-Regeln aus einem MISP-Event in ein Perimeter-IDS.
● Häufige Fragen
Was ist MISP?
MISP ist eine Open-Source-Threat-Intelligence-Plattform zum Sammeln, Speichern, Korrelieren und Teilen strukturierter Indikatoren und Analystenkontext innerhalb vertrauenswuerdiger Communities. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet MISP?
MISP ist eine Open-Source-Threat-Intelligence-Plattform zum Sammeln, Speichern, Korrelieren und Teilen strukturierter Indikatoren und Analystenkontext innerhalb vertrauenswuerdiger Communities.
Wie funktioniert MISP?
Die Malware Information Sharing Platform and Threat Sharing (MISP) ist eine weit verbreitete Open-Source-TIP, urspruenglich vom CIRCL entwickelt, die Intelligence als Events mit Attributes (IoCs), Objects, Galaxies und Tags speichert. Die Synchronisierung zwischen MISP-Instanzen ermoeglicht foederierten Austausch zwischen CERTs, ISACs und privaten Communities mit feingranularen Distributionsstufen und TLP-Labels. MISP unterstuetzt STIX 2.1, OpenIOC und eigene Feeds, exportiert IDS-fertige Signaturen (Suricata, Snort, Sigma) und integriert sich via API oder ZeroMQ in SIEM und EDR. Analysten nutzen es, um Sightings fallueberweifend zu korrelieren, Kampagnen mit MITRE ATT&CK zu taggen und Indikatoren reibungsarm zu operationalisieren.
Wie schützt man sich gegen MISP?
Schutzmaßnahmen gegen MISP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für MISP?
Übliche alternative Bezeichnungen: Malware Information Sharing Platform, MISP-Projekt.
● Verwandte Begriffe
- defense-ops№ 1105
STIX
STIX ist ein OASIS-Standard, der eine strukturierte, maschinenlesbare Sprache zum Darstellen und Austauschen von Cyber Threat Intelligence zwischen Organisationen und Tools definiert.
- defense-ops№ 1133
TAXII Protocol
TAXII ist ein OASIS-Anwendungsprotokoll uber HTTPS zum Veroffentlichen, Entdecken und Konsumieren von Cyber Threat Intelligence – typischerweise STIX-Inhalten – zwischen Organisationen.
- defense-ops№ 1158
TLP
TLP ist ein einfaches Kennzeichnungsschema von FIRST, das angibt, wie sensibel geteilte Cyberinformationen sind und wer sie weitergeben darf.
- defense-ops№ 771
OTX
OTX ist eine offene, community-getriebene Threat-Intelligence-Plattform – urspruenglich AlienVault, heute LevelBlue OTX – auf der Forschende Indikatoren in Form von Pulses veroeffentlichen.
- defense-ops№ 527
Indicator of Compromise (IoC)
Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
- defense-ops№ 1148
Threat Intelligence
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.