MISP-威胁共享平台

MISP(恶意软件信息共享平台)是一个开源工具,用于在受信任成员社区内共享有针对性的恶意软件和攻击的妥协指标(IOC)。它是一个包含技术和非技术信息的分布式IOC数据库。交换这些信息应该能够更快地检测到目标攻击并提高检测率,同时还可以减少误报数量。‍‍‍‍‍‍‍‍‍‍‍‍‍‍

核心功能:

一个高效的IOC和指标数据库,允许存储有关恶意软件样本,事件,攻击者和情报的技术和非技术信息。

自动关联查找恶意软件的属性和指标之间的关系,攻击活动或分析。

内置共享功能,可使用不同的分发模式轻松实现数据共享。MISP可以自动同步不同MISP间的事件和属性。高级过滤功能可用于满足每个组织共享策略,包括灵活的共享组容量和属性级别分配机制。

直观的用户界面,供最终用户在事件和属性/指示器上创建,更新和协作。一个图形界面,可以在事件及其相关之间无缝导航。高级过滤功能和警告列表可帮助分析师贡献事件和属性。

以结构化格式存储数据(允许为各种目的自动使用数据库),并且广泛支持网络安全指标以及金融部门的欺诈指标。

导出:生成IDS,OpenIOC,纯文本,CSV,MISP XML或JSON输出以与其他系统(网络IDS,主机IDS,自定义工具),STIX(XML和JSON),NIDS导出(Suricata,Snort和Bro) RPZ区域。很多其他格式可以通过misp模块轻松添加。

导入:批量导入,批量导入,从OpenIOC导入,GFI沙箱,ThreatConnect CSV。很多其他格式可以通过misp模块轻松添加。

灵活的自由文本导入工具,可以将非结构化报告集成到MISP中。

一个温和的系统来协调事件和属性,允许MISP用户对属性/指标提出更改或更新。

数据共享:使用MISP自动与其他方和信任组进行交换和同步。

委托共享:允许一个简单的伪匿名机制将事件/指标的发布委托给另一个组织。

灵活的API将MISP与您自己的解决方案集成在一起。MISP与PyMISP捆绑在一起,PyMISP是一个灵活的Python库,用于获取,添加或更新事件属性,处理恶意软件样本或搜索属性。

可调整的分类法根据您自己的分类方案或现有分类对事件进行分类和标记。分类可以是您的MISP本地的,但也可以在MISP实例之间共享。Python中的扩展模块用您自己的服务扩展MISP或激活已有的错误模块。

瞄准支持以从组织获得有关共享指标和属性的观察结果。瞄准可以通过MISP用户界面,API作为MISP文件或STIX瞄准文件提供。

STIX支持:以STIX格式(XML和JSON)导出数据。其他STIX导入和导出由MISP-STIX-Converter或MISP-Taxii-Server支持。

根据用户偏好,通过PGP和/或S / MIME集成加密和签名通知。

下载地址:https://github.com/MISP/MISP/releases

仅供于学习研究使用,不得非法使用,如非法操作,责任自行承担

你可能喜欢

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180420B0GXQ700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券