MISP (платформа обмена информацией о вредоносных программах) - это инструмент с открытым исходным кодом для обмена индикаторами компрометации (IOC) о целевых вредоносных программах и атаках в вашем сообществе доверенных участников. Это распределенная база данных МОК, содержащая техническую и нетехническую информацию. Обмен такой информацией должен привести к более быстрому обнаружению целевых атак и повышению степени обнаружения, а также к снижению количества ложных срабатываний.
Основные функции:
- Эффективная база данных IOC и индикаторов, позволяющая хранить техническую и нетехническую информацию об образцах вредоносных программ, инцидентах, злоумышленниках и разведданных.
- Автоматическое обнаружение взаимосвязей между атрибутами и индикаторами вредоносного ПО, атак или анализа.
- Встроенная функция совместного использования для упрощения обмена данными с использованием различных моделей распределения. MISP может автоматически синхронизировать события и атрибуты между различными MISP. Расширенные функции фильтрации могут использоваться для соответствия политике совместного использования каждой организации, включая гибкую емкость группы совместного использования и механизмы распределения на уровне атрибутов.
- Интуитивно понятный пользовательский интерфейс для конечных пользователей для создания, обновления и совместной работы над событиями и атрибутами / индикаторами.
- Графический интерфейс для удобной навигации между событиями и их корреляциями.
- Расширенные функции фильтрации и список предупреждений, чтобы помочь аналитикам добавлять события и атрибуты. хранение данных в структурированном формате (что позволяет автоматически использовать базу данных для различных целей) с обширной поддержкой индикаторов кибербезопасности наряду с индикаторами мошенничества, как в финансовом секторе. экспорт: создание IDS, OpenIOC, простого текста, CSV, MISP XML или вывода JSON для интеграции с другими системами (IDS сети, IDS хоста, настраиваемые инструменты), STIX (XML и JSON), экспорт NIDS (Suricata, Snort и Bro) или Зона РПЗ.
- Многие другие форматы легко добавляются через misp-модули. импорт: массовый импорт, пакетный импорт, импорт из OpenIOC, песочницы GFI, ThreatConnect CSV. Многие другие форматы легко добавляются через misp-модули. Гибкий инструмент импорта свободного текста для упрощения интеграции неструктурированных отчетов в MISP.
- Мягкая система для совместной работы над событиями и атрибутами, позволяющая пользователям MISP предлагать изменения или обновления атрибутов / индикаторов. обмен данными: автоматический обмен и синхронизация с другими сторонами и группами доверия с использованием MISP. делегирование совместного использования: позволяет простому псевдоанонимному механизму делегировать публикацию событий / индикаторов другой организации. Гибкий API для интеграции MISP с вашими собственными решениями.
- MISP связан с PyMISP, который представляет собой гибкую библиотеку Python для извлечения, добавления или обновления атрибутов событий, обработки образцов вредоносных программ или поиска атрибутов.
- Настраиваемая таксономия для классификации и маркировки событий в соответствии с вашими собственными схемами классификации или существующей классификацией. Таксономия может быть локальной по отношению к вашему MISP, но также может совместно использоваться экземплярами MISP.
- Модули расширения в Python для расширения MISP собственными сервисами или активации уже имеющихся misp-модулей. Визуальная поддержка для получения наблюдений от организаций относительно общих показателей и атрибутов. Визуализация может осуществляться через пользовательский интерфейс MISP, API в виде документа MISP или прицельных документов STIX.
- Поддержка STIX: экспорт данных в формате STIX (XML и JSON). Дополнительный импорт и экспорт STIX поддерживается MISP-STIX-Converter или MISP-Taxii-Server.
- Встроенное шифрование и подпись уведомлений через PGP и / или S / MIME в зависимости от предпочтений пользователя.
