Entry № 763
MISP
MISP 是什么?
MISPMISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
恶意软件信息共享平台与威胁共享(MISP)是一款部署广泛的开源 TIP,最初由 CIRCL 开发。它以事件(Event)的形式存储情报,事件中包含属性(IoC)、对象、Galaxy 与标签。多个 MISP 实例之间可同步,实现 CERT、ISAC 与私有社区之间的联邦共享,并支持细粒度的分发级别和 TLP 标记。MISP 支持 STIX 2.1、OpenIOC 与自定义订阅源,可导出 Suricata、Snort、Sigma 等 IDS 可直接使用的特征,并通过 API 或 ZeroMQ 与 SIEM、EDR 集成。分析师常用它在不同案例间关联目击事件、用 MITRE ATT&CK 标注攻击活动,并低成本地把指标投入运营。
● 示例
- 01
国家级 CERT 通过 MISP 联邦同步,与行业成员共享勒索软件指标。
- 02
从 MISP 事件中导出 Suricata 规则,部署到边界 IDS。
● 常见问题
MISP 是什么?
MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。 它属于网络安全的 防御与运营 分类。
MISP 是什么意思?
MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
如何防御 MISP?
针对 MISP 的防御通常结合技术控制与运营实践,详见上方完整定义。
MISP 还有哪些其他名称?
常见的别称包括: 恶意软件信息共享平台, MISP 项目。