MISP-惡意軟體資訊共享平臺和威脅共享

參考：https://github.com/MISP/MISP

MISP，惡意軟體資訊共享平臺和威脅共享是一個開源軟體解決方案，用於收集，儲存，分發和共享網路安全指標，並對網路安全事件分析和惡意軟體分析構成威脅。
MISP由事件分析師，安全和ICT專業人員或惡意軟體逆向設計，以支援他們的日常操作，以有效地分享結構化資訊。

MISP的目標是促進在安全界和國外分享結構化資訊。
MISP提供了支援資訊交換的功能，但也支援網路檢測入侵系統（NIDS），LIDS的資訊消耗，也支援日誌分析工具SIEM。

MISP，惡意軟體資訊共享平臺和威脅共享，核心功能有：

一個

**高效的IOC和指標

**資料庫，可以儲存有關惡意軟體樣本，事件，攻擊者和智慧的技術和非技術資訊。

自動

**相關

**查詢惡意軟體的屬性和指標之間的關係，攻擊活動或分析。

內建的

**共享功能

**，可以使用不同的發行
**版本
**來簡化資料共享。
MISP可以自動同步不同MISP之間的事件和屬性。
高階過濾功能可用於滿足每個組織共享策略，包括

**靈活的共享組

**容量和屬性級分佈機制。

一個

**直觀的使用者介面

**為終端使用者建立，更新和活動合作和屬性/指標。
一個

**圖形介面

**，用於在事件及其相關性之間
**無縫
**導航。
高階過濾功能和

[警告列表

](https://github.com/MISP/misp-warninglists)，以幫助分析人員提供事件和屬性。

**
**以結構化格式
**儲存資料
**（允許自動使用資料庫進行各種目的），廣泛支援沿著金融部門的欺詐指標的網路安全指標。

**匯出

**：生成IDS，OpenIOC，純文字，CSV，MISP XML或JSON輸出以與其他系統（網路IDS，主機IDS，自定義工具），STIX（XML和JSON），NIDS匯出（Suricata，Snort和Bro）或RPZ區。
許多其他格式很容易通過

[misp模組

](https://github.com/MISP/misp-modules)新增
。

**匯入

**：批量匯入，批量匯入，從OpenIOC匯入，GFI沙箱，ThreatConnect CSV。
許多其他格式很容易通過

[misp模組

](https://github.com/MISP/misp-modules)新增
。

靈活的

**自由文字匯入

**工具，以便將非結構化報告整合到MISP中。

一個溫和的系統來

**協調

**事件和屬性，允許MISP使用者提出對屬性/指標的更改或更新。

**資料共享

**：使用MISP自動與其他方和信任組進行交換和同步。

**委派共享

**：允許簡單的偽匿名機制將事件/指標的釋出委託給另一個組織。

靈活的

**API

**將MISP與您自己的解決方案相整合。
MISP與

[PyMISP

](https://github.com/MISP/PyMISP)捆綁在一起，
它是一個靈活的Python庫，用於獲取，新增或更新事件屬性，處理惡意軟體樣本或搜尋屬性。

**可調整的分類法

**，按照您自己的分類方案或

[現有

](https://github.com/MISP/misp-taxonomies)分類對事件進行分類和標記
。
分類法可以是MISP的本地化，但也可以在MISP例項之間共享。

**擴充套件模組在Python

**中擴充套件MISP與您自己的服務或啟用已經可用的

[錯誤模組

](https://github.com/MISP/misp-modules)。

**
**觀察
**支援
**，從組織獲取關於共同指標和屬性的意見。
瞄準

[可以

](https://www.circl.lu/doc/misp/automation/index.html#sightings-api)通過MISP使用者介面，API作為MISP檔案或STIX瞄準檔案。

**STIX支援

**：以STIX格式匯出資料（XML和JSON）。

[MISP-STIX-Converter

](https://github.com/MISP/MISP-STIX-Converter)或

[MISP-Taxii-Server

](https://github.com/MISP/MISP-Taxii-Server)支援額外的STIX匯入和匯出
。

**根據使用者偏好，

**通過PGP和/或S / MIME
**對通知
**進行
**整合加密和簽名
**。

交換資訊可以

*更快地發現

*目標攻擊，並提高檢測率，同時減少誤報。
我們也避免扭轉類似的惡意軟體，因為我們非常瞭解已經分析了特定惡意軟體的其他團隊或組織。