MISP

MISP es una solución de software de código abierto para recopilar, almacenar, distribuir y compartir indicadores de seguridad cibernética y amenazas sobre análisis de incidentes de seguridad cibernética y análisis de malware. MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC o reversores de malware para respaldar sus operaciones diarias para compartir información estructurada de manera eficiente.

El objetivo de MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero. MISP proporciona funcionalidades para respaldar el intercambio de información pero también el consumo de dicha información por parte de los sistemas de detección de intrusiones en la red (NIDS), LIDS pero también herramientas de análisis de registros, SIEM.

● Funciones principales ● Sitio web/soporte ● Instalación ● Documentación ● Contribución
● Licencia

• Una plataforma completa y sólida para compartir inteligencia sobre amenazas que se puede implementar localmente, en la nube o como una solución SaaS, adecuada para organizaciones de todos los tamaños.
• La inteligencia sobre amenazas, que abarca desde indicadores hasta técnicas y tácticas, se puede describir fácilmente en MISP , desde datos procesables legibles por máquina hasta informes detallados en formato Markdown.
• Se integra un sistema de informes flexible en MISP, que permite la descripción de inteligencia sobre amenazas con referencias cruzadas a los componentes legibles por máquina, incluidos objetos y atributos.
• Una base de datos rápida y eficiente para puntos de datos atómicos, indicadores para objetos complejos y selectores , que permite el almacenamiento de información técnica y no técnica relacionada con la inteligencia de ciberseguridad, así como contextos de inteligencia más amplios.
• Motor de correlación automática, que revela relaciones entre atributos e indicadores de malware, campañas de ataque, análisis u otras amenazas descritas. El motor de correlación maneja la interconexión de atributos coincidentes, así como patrones de correlación más avanzados, como superposiciones de hash difuso (por ejemplo, ssdeep) y coincidencia de bloques CIDR. Las correlaciones también se pueden habilitar o deshabilitar por eventos en diferentes niveles de granularidad.
• Un modelo de datos flexible , donde objetos complejos se pueden expresar y vincular entre sí para expresar inteligencia sobre amenazas, incidentes o elementos conectados .
• Funcionalidad de intercambio incorporada para facilitar el intercambio de información, utilizando modelos de distribución diferentes y personalizables. MISP puede sincronizar automáticamente eventos y atributos, así como inteligencia de amenazas de nivel superior entre diferentes instancias de MISP. Se pueden utilizar funcionalidades de filtrado avanzadas para cumplir con la política de uso compartido de cada organización, incluida una capacidad de grupo de uso compartido flexible y granularidad hasta el nivel de atributo atómico.
• Una interfaz de usuario intuitiva para que los usuarios finales creen, actualicen y colaboren en eventos y atributos/indicadores, además de una interfaz gráfica para navegar sin problemas entre eventos y sus correlaciones, así como una funcionalidad de gráfico de eventos para crear y ver relaciones entre objetos. y atributos. Funcionalidades de filtrado avanzadas y listas de advertencias para ayudar a los analistas a contribuir con eventos y atributos y limitar el riesgo de falsos positivos.
• Un sistema de flujo de trabajo integral para facilitar la canalización de datos automática y personalizable en MISP, incluida la calificación de datos, el análisis automatizado, la modificación y el control de publicación.
• Almacenar datos en un formato estructurado, lo que permite el uso automatizado de la base de datos para diversos fines, con amplio soporte para indicadores de ciberseguridad, indicadores de fraude (por ejemplo, en el sector financiero) y contextos de inteligencia más amplios.
• Se puede acceder a toda la inteligencia y la información almacenada en MISP a través de la interfaz de usuario, pero también a través de una extensa API ReST descrita como OpenAPI.
• Exportar : genere resultados en varios formatos, incluidos varios formatos IDS nativos, OpenIOC, texto sin formato, CSV, MISP JSON, STIX (XML y JSON) versiones 1 y 2, exportaciones NIDS (Suricata, Snort y Bro/Zeek), zonas RPZ. y formatos de caché para herramientas forenses. Se pueden agregar fácilmente formatos adicionales, como PDF, que están disponibles a través de los módulos misp o se personalizan como módulos de exportación integrados.
• Importación : soporte para importación de texto libre, importación de URL, importación masiva, importación por lotes e importación desde una larga lista de formatos, incluido el formato estándar propio de MISP, STIX 1.x/2.0, CSV o varios formatos propietarios. Se pueden agregar fácilmente formatos adicionales a través del sistema misp-modules.
• Herramienta flexible de importación de texto libre para simplificar la integración de informes no estructurados en MISP, con detección y conversión automática de informes externos a través de URL proporcionadas e informes de texto con una conversión automática en informes, objetos y atributos de MISP.
• Un sistema fácil de usar para colaborar en eventos y atributos que permite a los usuarios del MISP proponer cambios o actualizaciones de atributos/indicadores o proporcionar sus propias perspectivas o contraanálisis a la información compartida.
• Una amplia función de análisis de datos que permite a los analistas agregar opiniones, relaciones o comentarios a cualquier inteligencia en MISP, que se puede compartir utilizando los mecanismos de intercambio de MISP.
• Intercambio de datos : intercambie y sincronice automáticamente información en tiempo real con otras partes y grupos de confianza utilizando MISP, con soporte para niveles de intercambio granulares y grupos de intercambio personalizados.
• Delegar el intercambio : permite un mecanismo simple y pseudoanónimo para delegar la publicación de datos de MISP a las comunidades.
• API flexible para integrar MISP con sus propias soluciones. MISP se incluye con PyMISP, que es una biblioteca Python flexible para buscar, agregar o actualizar atributos de eventos, manejar muestras de malware o buscar atributos. Una API restSearch exhaustiva para buscar fácilmente indicadores en MISP y exportarlos en todos los formatos admitidos por MISP.
• Herramientas integradas para crear, probar y analizar consultas complejas directamente en la GUI de MISP utilizando un cliente API con plantilla altamente consciente del contexto.
• Taxonomía ajustable para clasificar y etiquetar eventos siguiendo sus propios esquemas de clasificación o clasificación existente. La taxonomía puede ser local para su MISP pero también puede compartirse entre instancias de MISP.
• Vocabularios de inteligencia llamados MISP galaxy y agrupados con actores de amenazas existentes, malware, RAT, ransomware o MITRE ATT&CK que se pueden vincular fácilmente con eventos, informes y atributos en MISP.
• Módulos de expansión en Python para ampliar MISP con sus propios servicios o activar módulos misp ya disponibles.
• Soporte de avistamiento para obtener observaciones de organizaciones sobre indicadores y atributos compartidos. Los avistamientos se pueden contribuir a través de la interfaz de usuario de MISP y la API como datos de MISP o documentos de avistamiento STIX.
• La compatibilidad con el formato estándar MISP está integrada en MISP y es utilizada por una larga lista de herramientas y organizaciones en todo el mundo. El formato estándar MISP es estable y compatible con conjuntos de datos más antiguos.
• Compatibilidad con STIX : importe y exporte datos en formatos STIX versiones 1 y 2, aprovechando la potente biblioteca misp-stix.
• Cifrado y firma integrados de las notificaciones vía GnuPG y/o S/MIME según las preferencias del usuario.
• Función de panel : integrada en MISP, lo que permite a los usuarios y organizaciones crear y compartir configuraciones de panel compuestas personalizadas, así como crear soluciones de monitoreo personalizadas directamente en una interfaz de arrastrar y soltar.
• Canal de publicación-suscripción en tiempo real dentro de MISP para obtener automáticamente todos los cambios (por ejemplo, nuevos eventos, indicadores, avistamientos o etiquetado) en ZMQ (por ejemplo, SkillAegis) o publicación Kafka.
• Subsistemas de registro flexibles para ayudar con la auditoría del sistema, así como las acciones de la base de usuarios en el sistema, con varios formatos de salida compatibles, así como una amplia gama de mecanismos de transporte para las necesidades de registro centralizado.
• RBAC personalizable , que permite ejecutar configuraciones de MISP tanto como una herramienta interna permisiva como como instancias comunitarias estrictamente reguladas.
• Firma y validación de información para comunidades de intercambio de información más diversas y sensibles.
• Baterías incluidas : una larga lista de herramientas para copias de seguridad, integración con proveedores de identidad y sistemas de autenticación, redes de seguridad para la prevención de fugas de información (como MISP-Guard), así como herramientas de monitoreo del sistema.
• Compromiso de código abierto : MISP y sus derechos de autor son propiedad exclusiva de una licencia entrelazada entre todos los contribuyentes, lo que garantiza que ninguna organización o empresa pueda cambiar la licencia o el modelo de MISP. Los usuarios de MISP pueden confiar en que la herramienta nunca se convertirá en una herramienta de modelo multinivel semiabierta, propietaria o de código cerrado.

El principal beneficio de utilizar MISP es su capacidad para servir como una plataforma integral y sólida para el intercambio y la colaboración de inteligencia sobre amenazas , lo que permite a organizaciones de todos los tamaños:

• Centralice y administre la inteligencia: almacene, estructure y analice inteligencia sobre amenazas tanto técnica como no técnica de manera eficiente.
• Mejore la colaboración: comparta información de forma segura y flexible con grupos de confianza, aprovechando los mecanismos de intercambio granular y la sincronización en tiempo real.
• Mejore la detección y la respuesta: correlacione indicadores, enriquezca la inteligencia y automatice los flujos de trabajo para mejorar las capacidades de detección, análisis y respuesta.
• Fomente la integración y la interoperabilidad: integre perfectamente con herramientas y sistemas existentes utilizando API, extensiones modulares y soporte para formatos estándar como STIX y el propio formato estandarizado de MISP.
• Habilite conocimientos prácticos: proporcione inteligencia procesable y legible por máquina y, al mismo tiempo, admita informes detallados para la toma de decisiones estratégicas y operativas.

MISP brinda a los equipos de ciberseguridad una plataforma escalable, flexible y fácil de usar para optimizar sus procesos de inteligencia de amenazas y mejorar sus capacidades de defensa colectiva.

Un evento de muestra codificado en MISP:

Visite el sitio web para obtener más información sobre el software, los estándares, las herramientas y las comunidades de MISP.

También se publica periódicamente información, noticias y actualizaciones en la cuenta Mastodon del proyecto MISP, en la cuenta de Twitter y en la página de noticias.

Para instalaciones de prueba y producción, le recomendamos consultar las opciones posibles en misp-project.org/download.

La guía del usuario de MISP (libro MISP) está disponible en línea, en formato PDF, EPUB o MOBI/Kindle.

También se recomienda leer las preguntas frecuentes.

Si está interesado en contribuir al proyecto MISP, revise nuestra página de contribuciones. Hay muchas maneras de contribuir y participar en el proyecto.

Consulte nuestro Código de conducta.

Siéntase libre de bifurcar el código, jugar con él, crear algunos parches y enviarnos las solicitudes de extracción a través de los problemas.

No dude en contactarnos, crear problemas, si tiene preguntas, comentarios o informes de errores.

Hay una rama principal (2.5) y una rama estable para 2.4:

• 2.5 (versión estable actual): lo que consideramos estable con actualizaciones frecuentes como revisiones.
• 2.4 (versión estable heredada): lo que consideramos estable con actualizaciones frecuentes como revisiones hasta abril de 2025.

Junto con dos ramas de desarrollo:

• desarrollar (rama de desarrollo principal): la rama que contiene todo el trabajo en curso, que se fusionará en 2.5 en cada versión.
• 2.4-desarrollo (rama de desarrollo 2.4): la rama que contiene el trabajo en curso que se fusionará en 2.4 en cada versión heredada junto con fusiones frecuentes en desarrollo. Consideramos que este es el principal punto de entrada para nuevos desarrollos para 2.x hasta que finalice el período de gracia de 6 meses.

Este software tiene la licencia GNU Affero General Public License versión 3

• Copyright (C) 2012-2024 Christophe Vandeplas
• Copyright (C) 2012 Defensa belga
• Copyright (C) 2012 OTAN / NCIRC
• Copyright (C) 2013-2024 András Iklody
• Copyright (C) 2015-2024 CIRCL - Centro de respuesta a incidentes informáticos de Luxemburgo
• Copyright (C) 2016 Andreas Ziegler
• Copyright (C) 2018-2024 Sami Mokaddem
• Copyright (C) 2018-2024 Christian Studer
• Copyright (C) 2015-2024 Alexandre Dulaunoy
• Copyright (C) 2018-2022 Steve Clemente
• Copyright (C) 2020-2024 Jakub Onderka

Para obtener más información, la lista de autores y colaboradores está disponible.