MISP
MISP 是什么?
MISPMISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
恶意软件信息共享平台与威胁共享(MISP)是一款部署广泛的开源 TIP,最初由 CIRCL 开发。它以事件(Event)的形式存储情报,事件中包含属性(IoC)、对象、Galaxy 与标签。多个 MISP 实例之间可同步,实现 CERT、ISAC 与私有社区之间的联邦共享,并支持细粒度的分发级别和 TLP 标记。MISP 支持 STIX 2.1、OpenIOC 与自定义订阅源,可导出 Suricata、Snort、Sigma 等 IDS 可直接使用的特征,并通过 API 或 ZeroMQ 与 SIEM、EDR 集成。分析师常用它在不同案例间关联目击事件、用 MITRE ATT&CK 标注攻击活动,并低成本地把指标投入运营。
● 示例
- 01
国家级 CERT 通过 MISP 联邦同步,与行业成员共享勒索软件指标。
- 02
从 MISP 事件中导出 Suricata 规则,部署到边界 IDS。
● 常见问题
MISP 是什么?
MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。 它属于网络安全的 防御与运营 分类。
MISP 是什么意思?
MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
MISP 是如何工作的?
恶意软件信息共享平台与威胁共享(MISP)是一款部署广泛的开源 TIP,最初由 CIRCL 开发。它以事件(Event)的形式存储情报,事件中包含属性(IoC)、对象、Galaxy 与标签。多个 MISP 实例之间可同步,实现 CERT、ISAC 与私有社区之间的联邦共享,并支持细粒度的分发级别和 TLP 标记。MISP 支持 STIX 2.1、OpenIOC 与自定义订阅源,可导出 Suricata、Snort、Sigma 等 IDS 可直接使用的特征,并通过 API 或 ZeroMQ 与 SIEM、EDR 集成。分析师常用它在不同案例间关联目击事件、用 MITRE ATT&CK 标注攻击活动,并低成本地把指标投入运营。
如何防御 MISP?
针对 MISP 的防御通常结合技术控制与运营实践,详见上方完整定义。
MISP 还有哪些其他名称?
常见的别称包括: 恶意软件信息共享平台, MISP 项目。
● 相关术语
- defense-ops№ 1105
STIX
STIX 是 OASIS 制定的开放标准,以结构化、机器可读的语言表示和交换网络威胁情报。
- defense-ops№ 1133
TAXII Protocol
TAXII 是 OASIS 制定的基于 HTTPS 的应用层协议,用于在组织之间发布、发现和消费威胁情报,通常承载 STIX 内容。
- defense-ops№ 1158
TLP
TLP 是由 FIRST 维护的一套简单标签方案,用于标明共享的网络安全信息的敏感程度以及允许的再分发范围。
- defense-ops№ 771
OTX
OTX 是一个开放的社区型威胁情报交换平台 —— 最初由 AlienVault 推出,现归 LevelBlue 运营 —— 研究人员在此以 Pulse 的形式发布指标。
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。