MISP
Что такое MISP?
MISPMISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах.
Malware Information Sharing Platform and Threat Sharing (MISP) — широко распространённая открытая TIP, изначально разработанная CIRCL. Она хранит разведданные как события (Event), содержащие атрибуты (IoC), объекты, Galaxy и теги. Синхронизация между экземплярами MISP обеспечивает федеративный обмен между CERT, ISAC и закрытыми сообществами с детальными уровнями распространения и метками TLP. MISP поддерживает STIX 2.1, OpenIOC и собственные фиды, экспортирует готовые сигнатуры для IDS (Suricata, Snort, Sigma) и интегрируется с SIEM и EDR через API или ZeroMQ. Аналитики используют её для корреляции наблюдений между делами, разметки кампаний по MITRE ATT&CK и быстрого ввода индикаторов в эксплуатацию.
● Примеры
- 01
Национальный CERT делится индикаторами вымогательского ПО с членами отраслевого сообщества через федеративную синхронизацию MISP.
- 02
Экспорт правил Suricata из события MISP в периметровую IDS.
● Частые вопросы
Что такое MISP?
MISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах. Относится к категории Защита и операции в кибербезопасности.
Что означает MISP?
MISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах.
Как работает MISP?
Malware Information Sharing Platform and Threat Sharing (MISP) — широко распространённая открытая TIP, изначально разработанная CIRCL. Она хранит разведданные как события (Event), содержащие атрибуты (IoC), объекты, Galaxy и теги. Синхронизация между экземплярами MISP обеспечивает федеративный обмен между CERT, ISAC и закрытыми сообществами с детальными уровнями распространения и метками TLP. MISP поддерживает STIX 2.1, OpenIOC и собственные фиды, экспортирует готовые сигнатуры для IDS (Suricata, Snort, Sigma) и интегрируется с SIEM и EDR через API или ZeroMQ. Аналитики используют её для корреляции наблюдений между делами, разметки кампаний по MITRE ATT&CK и быстрого ввода индикаторов в эксплуатацию.
Как защититься от MISP?
Защита от MISP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия MISP?
Распространённые альтернативные названия: Платформа MISP, Проект MISP.
● Связанные термины
- defense-ops№ 1105
STIX
STIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами.
- defense-ops№ 1133
TAXII Protocol
TAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями.
- defense-ops№ 1158
TLP
TLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять.
- defense-ops№ 771
OTX
OTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse.
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.