MISP
¿Qué es MISP?
MISPMISP es una plataforma de inteligencia de amenazas de codigo abierto para recopilar, almacenar, correlacionar y compartir indicadores estructurados y contexto analitico entre comunidades de confianza.
Malware Information Sharing Platform and Threat Sharing (MISP) es una TIP de codigo abierto muy extendida, desarrollada originalmente por CIRCL, que almacena la inteligencia como Eventos con Atributos (IoC), Objetos, Galaxias y Etiquetas. La sincronizacion entre instancias permite el intercambio federado entre CERT, ISAC y comunidades privadas con niveles de distribucion granulares y etiquetas TLP. MISP soporta STIX 2.1, OpenIOC y feeds personalizados, exporta firmas listas para IDS (Suricata, Snort, Sigma) y se integra con SIEM y EDR via API o ZeroMQ. Los analistas la usan para correlacionar avistamientos entre casos, etiquetar campanas con MITRE ATT&CK y operar indicadores con poca friccion.
● Ejemplos
- 01
Un CERT nacional comparte indicadores de ransomware con sus miembros sectoriales mediante sincronizacion federada de MISP.
- 02
Exportar reglas Suricata desde un evento MISP hacia un IDS perimetral.
● Preguntas frecuentes
¿Qué es MISP?
MISP es una plataforma de inteligencia de amenazas de codigo abierto para recopilar, almacenar, correlacionar y compartir indicadores estructurados y contexto analitico entre comunidades de confianza. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa MISP?
MISP es una plataforma de inteligencia de amenazas de codigo abierto para recopilar, almacenar, correlacionar y compartir indicadores estructurados y contexto analitico entre comunidades de confianza.
¿Cómo funciona MISP?
Malware Information Sharing Platform and Threat Sharing (MISP) es una TIP de codigo abierto muy extendida, desarrollada originalmente por CIRCL, que almacena la inteligencia como Eventos con Atributos (IoC), Objetos, Galaxias y Etiquetas. La sincronizacion entre instancias permite el intercambio federado entre CERT, ISAC y comunidades privadas con niveles de distribucion granulares y etiquetas TLP. MISP soporta STIX 2.1, OpenIOC y feeds personalizados, exporta firmas listas para IDS (Suricata, Snort, Sigma) y se integra con SIEM y EDR via API o ZeroMQ. Los analistas la usan para correlacionar avistamientos entre casos, etiquetar campanas con MITRE ATT&CK y operar indicadores con poca friccion.
¿Cómo defenderse de MISP?
Las defensas contra MISP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para MISP?
Nombres alternativos comunes: Plataforma MISP, Proyecto MISP.
● Términos relacionados
- defense-ops№ 1105
STIX
STIX es un estándar OASIS que define un lenguaje estructurado y legible por máquinas para representar e intercambiar inteligencia de amenazas entre organizaciones y herramientas.
- defense-ops№ 1133
TAXII Protocol
TAXII es un protocolo de capa de aplicacion de OASIS sobre HTTPS para publicar, descubrir y consumir inteligencia de amenazas —normalmente contenido STIX— entre organizaciones.
- defense-ops№ 1158
TLP
TLP es un esquema simple de etiquetado mantenido por FIRST que indica el grado de sensibilidad de la informacion compartida y a quien puede redistribuirse.
- defense-ops№ 771
OTX
OTX es un intercambio abierto y comunitario de inteligencia de amenazas —originalmente AlienVault, ahora LevelBlue OTX— donde los investigadores publican indicadores agrupados en Pulses.
- defense-ops№ 527
Indicador de Compromiso (IoC)
Artefacto observable —como un hash, IP, dominio, URL o clave de registro— que sugiere que un sistema ha sido o está siendo comprometido.
- defense-ops№ 1148
Inteligencia de Amenazas
Conocimiento basado en evidencias sobre amenazas y actores —indicadores, TTPs y contexto— utilizado para orientar decisiones de seguridad y detección.