MISP
Qu'est-ce que MISP ?
MISPMISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance.
Malware Information Sharing Platform and Threat Sharing (MISP) est une TIP open source largement deployee, developpee initialement par le CIRCL, qui stocke le renseignement sous forme d'Events contenant des Attributes (IoC), des Objects, des Galaxies et des Tags. La synchronisation entre instances MISP permet un partage federe entre CERT, ISAC et communautes privees, avec des niveaux de diffusion fins et des labels TLP. MISP gere STIX 2.1, OpenIOC et des flux personnalises, exporte des signatures pretes pour IDS (Suricata, Snort, Sigma) et s'integre aux SIEM et EDR via API ou ZeroMQ. Les analystes l'utilisent pour correler des sightings entre cas, taguer des campagnes avec MITRE ATT&CK et operationnaliser les indicateurs sans friction.
● Exemples
- 01
Un CERT national diffuse des indicateurs de ransomware a ses membres sectoriels via la synchronisation federee MISP.
- 02
Export de regles Suricata depuis un event MISP vers un IDS perimetrique.
● Questions fréquentes
Qu'est-ce que MISP ?
MISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie MISP ?
MISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance.
Comment fonctionne MISP ?
Malware Information Sharing Platform and Threat Sharing (MISP) est une TIP open source largement deployee, developpee initialement par le CIRCL, qui stocke le renseignement sous forme d'Events contenant des Attributes (IoC), des Objects, des Galaxies et des Tags. La synchronisation entre instances MISP permet un partage federe entre CERT, ISAC et communautes privees, avec des niveaux de diffusion fins et des labels TLP. MISP gere STIX 2.1, OpenIOC et des flux personnalises, exporte des signatures pretes pour IDS (Suricata, Snort, Sigma) et s'integre aux SIEM et EDR via API ou ZeroMQ. Les analystes l'utilisent pour correler des sightings entre cas, taguer des campagnes avec MITRE ATT&CK et operationnaliser les indicateurs sans friction.
Comment se défendre contre MISP ?
Les défenses contre MISP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de MISP ?
Noms alternatifs courants : Plateforme MISP, Projet MISP.
● Termes liés
- defense-ops№ 1105
STIX
STIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils.
- defense-ops№ 1133
TAXII Protocol
TAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations.
- defense-ops№ 1158
TLP
TLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee.
- defense-ops№ 771
OTX
OTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses.
- defense-ops№ 527
Indicateur de Compromission (IoC)
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
- defense-ops№ 1148
Renseignement sur les menaces
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.