MISP

MISP est une solution logicielle open source permettant de collecter, stocker, distribuer et partager des indicateurs de cybersécurité et des menaces concernant l'analyse des incidents de cybersécurité et l'analyse des logiciels malveillants. MISP est conçu par et pour les analystes d'incidents, les professionnels de la sécurité et des TIC ou les réverseurs de logiciels malveillants afin de soutenir leurs opérations quotidiennes afin de partager efficacement des informations structurées.

L’objectif du MISP est de favoriser le partage d’informations structurées au sein de la communauté de la sécurité et à l’étranger. MISP fournit des fonctionnalités pour prendre en charge l'échange d'informations mais aussi la consommation desdites informations par les Network Intrusion Detection Systems (NIDS), LIDS mais aussi des outils d'analyse de logs, SIEM.

● Fonctions de base ● Site Web / Support ● Installation ● Documentation ● Contribuer
● Licence

• Une plateforme complète et robuste de partage de renseignements sur les menaces qui peut être déployée sur site, dans le cloud ou en tant que solution SaaS, adaptée aux organisations de toutes tailles.
• Les renseignements sur les menaces, allant des indicateurs aux techniques et tactiques, peuvent être facilement décrits dans MISP , depuis les données exploitables lisibles par machine jusqu'aux rapports détaillés au format Markdown.
• Un système de reporting flexible est intégré au MISP, permettant la description des renseignements sur les menaces avec des références croisées aux composants lisibles par machine, y compris les objets et les attributs.
• Une base de données rapide et efficace pour les points de données atomiques, les indicateurs d'objets complexes et les sélecteurs , permettant le stockage d'informations techniques et non techniques liées au renseignement de cybersécurité ainsi que de contextes de renseignement plus larges.
• Moteur de corrélation automatique, révélant les relations entre les attributs et les indicateurs de logiciels malveillants, de campagnes d'attaque, d'analyses ou d'autres menaces décrites. Le moteur de corrélation gère l'interconnexion des attributs de correspondance ainsi que des modèles de corrélation plus avancés tels que les chevauchements de hachage flous (par exemple ssdeep) et la correspondance de blocs CIDR. Les corrélations peuvent également être activées ou désactivées à différents niveaux de granularité.
• Un modèle de données flexible , dans lequel des objets complexes peuvent être exprimés et liés entre eux pour exprimer des renseignements sur les menaces, les incidents ou les éléments connectés .
• Fonctionnalité de partage intégrée pour faciliter l’échange d’informations, en utilisant différents modèles de distribution personnalisables. MISP peut synchroniser automatiquement les événements et les attributs ainsi que les renseignements sur les menaces de niveau supérieur entre les différentes instances MISP. Des fonctionnalités de filtrage avancées peuvent être utilisées pour répondre à la politique de partage de chaque organisation, notamment une capacité de groupe de partage flexible et une granularité allant jusqu'au niveau des attributs atomiques.
• Une interface utilisateur intuitive permettant aux utilisateurs finaux de créer, mettre à jour et collaborer sur des événements et des attributs/indicateurs, en plus d'une interface graphique pour naviguer de manière transparente entre les événements et leurs corrélations ainsi qu'une fonctionnalité de graphique d'événements pour créer et afficher les relations entre les objets. et les attributs. Fonctionnalités de filtrage avancées et listes d'avertissement pour aider les analystes à contribuer aux événements et aux attributs et à limiter le risque de faux positifs.
• Un système de flux de travail complet pour faciliter les pipelines de données automatiques et personnalisables dans MISP, y compris la qualification des données, l'analyse automatisée, la modification et le contrôle de la publication.
• Stockage des données dans un format structuré, permettant une utilisation automatisée de la base de données à diverses fins, avec une prise en charge étendue des indicateurs de cybersécurité, des indicateurs de fraude (par exemple, dans le secteur financier) et des contextes de renseignement plus larges.
• Toutes les informations et renseignements stockés dans MISP sont accessibles via l'interface utilisateur mais également une API ReST étendue décrite comme OpenAPI.
• Exporter : Générez des sorties dans divers formats, notamment divers formats IDS natifs, OpenIOC, texte brut, CSV, MISP JSON, STIX (XML et JSON) versions 1 et 2, exportations NIDS (Suricata, Snort et Bro/Zeek), zones RPZ et les formats de cache pour les outils médico-légaux. Des formats supplémentaires, tels que PDF, peuvent être facilement ajoutés et sont disponibles via les modules misp ou personnalisés en tant que modules d'exportation intégrés.
• Importation : prise en charge de l'importation de texte libre, de l'importation d'URL, de l'importation en masse, de l'importation par lots et de l'importation à partir d'une longue liste de formats, notamment le format standard de MISP, STIX 1.x/2.0, CSV ou divers formats propriétaires. Des formats supplémentaires peuvent être facilement ajoutés via le système misp-modules.
• Outil d'importation de texte libre flexible pour simplifier l'intégration de rapports non structurés dans MISP, avec détection et conversion automatiques de rapports externes via les URL fournies et rapports texte avec conversion automatique en rapports, objets et attributs MISP.
• Un système convivial pour collaborer sur des événements et des attributs permettant aux utilisateurs du MISP de proposer des modifications ou des mises à jour des attributs/indicateurs ou de fournir leurs propres perspectives ou contre-analyses aux informations partagées.
• Une fonctionnalité d'analyse de données étendue permettant aux analystes d'ajouter des opinions, des relations ou des commentaires à toute information dans MISP, qui peuvent être partagées à l'aide des mécanismes de partage de MISP.
• Partage de données : échangez et synchronisez automatiquement des informations en temps réel avec d'autres parties et groupes de confiance à l'aide de MISP, avec prise en charge de niveaux de partage granulaires et de groupes de partage personnalisés.
• délégation de partage : permet un mécanisme simple et pseudo-anonyme pour déléguer la publication des données MISP aux communautés.
• API flexible pour intégrer MISP à vos propres solutions. MISP est fourni avec PyMISP, une bibliothèque Python flexible permettant de récupérer, d'ajouter ou de mettre à jour des attributs d'événements, de gérer des échantillons de logiciels malveillants ou de rechercher des attributs. Une API restSearch exhaustive pour rechercher facilement des indicateurs dans MISP et les exporter dans tous les formats pris en charge par MISP.
• Outils intégrés pour créer, tester et analyser des requêtes complexes directement dans l'interface graphique MISP à l'aide d'un client API basé sur un modèle et hautement contextuel.
• Taxonomie réglable pour classer et étiqueter les événements selon vos propres schémas de classification ou la classification existante. La taxonomie peut être locale à votre MISP mais également partageable entre les instances MISP.
• Vocabulaires de renseignement appelés MISP galaxy et regroupés avec les acteurs de menace existants, les logiciels malveillants, les RAT, les ransomwares ou MITRE ATT&CK qui peuvent être facilement liés aux événements, rapports et attributs dans MISP.
• Modules d'extension en Python pour étendre MISP avec vos propres services ou activer des modules misp déjà disponibles.
• Support de visualisation pour obtenir des observations des organisations concernant les indicateurs et attributs partagés. L'observation peut être contribuée via l'interface utilisateur MISP et l'API sous forme de données MISP ou de documents d'observation STIX.
• La prise en charge du format standard MISP est intégrée à MISP et utilisée par une longue liste d'outils et d'organisations dans le monde entier. Le format standard MISP est stable et rétrocompatible avec les anciens ensembles de données.
• Prise en charge de STIX : importez et exportez des données aux formats STIX versions 1 et 2, en tirant parti de la puissante bibliothèque misp-stix.
• Cryptage et signature intégrés des notifications via GnuPG et/ou S/MIME selon les préférences de l'utilisateur.
• Fonctionnalité de tableau de bord : intégrée au MISP, permettant aux utilisateurs et aux organisations de créer et de partager des configurations de tableau de bord composites personnalisées ainsi que de créer des solutions de surveillance sur mesure directement dans une interface glisser-déposer.
• Canal de publication-abonnement en temps réel au sein de MISP pour obtenir automatiquement toutes les modifications (par exemple, nouveaux événements, indicateurs, observations ou marquage) dans la publication ZMQ (par exemple SkillAegis) ou Kafka.
• Sous-systèmes de journalisation flexibles pour faciliter l'audit du système ainsi que les actions de la base d'utilisateurs sur le système, avec différents formats de sortie pris en charge ainsi qu'une large gamme de mécanismes de transport pour les besoins de journalisation centralisés.
• RBAC personnalisable , permettant d'exécuter des configurations de MISP à la fois en tant qu'outil interne permissif et en tant qu'instances communautaires étroitement réglementées.
• Signature et validation des informations pour des communautés de partage d’informations plus diversifiées et plus sensibles.
• Batteries incluses : Une longue liste d'outils pour les sauvegardes, l'intégration avec les fournisseurs d'identité et les systèmes d'authentification, des filets de sécurité de prévention des fuites d'informations (tels que MISP-Guard) ainsi que des outils de surveillance du système.
• Engagement open source : MISP et ses droits d'auteur sont entièrement détenus par une licence imbriquée entre tous les contributeurs, garantissant qu'aucune organisation ou entreprise ne pourra jamais modifier la licence ou le modèle de MISP. Les utilisateurs de MISP peuvent compter sur l’outil qui ne se transformera jamais en un outil de modèle multiniveau fermé/propriétaire/semi-ouvert.

Le principal avantage de l'utilisation de MISP est sa capacité à servir de plate-forme complète et robuste pour le partage et la collaboration de renseignements sur les menaces , permettant aux organisations de toutes tailles de :

• Centralisez et gérez les renseignements : stockez, structurez et analysez efficacement les renseignements sur les menaces techniques et non techniques.
• Améliorez la collaboration : partagez des informations de manière sécurisée et flexible avec des groupes de confiance, en tirant parti des mécanismes de partage granulaire et de la synchronisation en temps réel.
• Améliorez la détection et la réponse : corrélez les indicateurs, enrichissez les renseignements et automatisez les flux de travail pour améliorer les capacités de détection, d'analyse et de réponse.
• Favorisez l'intégration et l'interopérabilité : intégrez de manière transparente aux outils et systèmes existants à l'aide d'API, d'extensions modulaires et de la prise en charge de formats standard tels que STIX et le format standardisé de MISP.
• Obtenez des informations exploitables : fournissez des informations exploitables et lisibles par machine tout en prenant en charge des rapports détaillés pour la prise de décision stratégique et opérationnelle.

MISP offre aux équipes de cybersécurité une plate-forme évolutive, flexible et conviviale pour rationaliser leurs processus de renseignement sur les menaces et améliorer leurs capacités de défense collective.

Un exemple d'événement codé en MISP :

Consultez le site Web pour plus d’informations sur les logiciels, les normes, les outils et les communautés MISP.

Des informations, actualités et mises à jour sont également régulièrement publiées sur le compte Mastodon du projet MISP, le compte Twitter et la page d'actualités.

Pour les installations de test et de production, nous vous recommandons de consulter les options possibles sur misp-project.org/download.

Le guide de l'utilisateur MISP (MISP-book) est disponible en ligne ou au format PDF ou EPUB ou MOBI/Kindle.

Il est également recommandé de lire la FAQ

Si vous souhaitez contribuer au projet MISP, consultez notre page de contribution. Il existe de nombreuses façons de contribuer et de participer au projet.

Veuillez consulter notre Code de conduite.

N'hésitez pas à forker le code, à jouer avec, à créer quelques correctifs et à nous envoyer les pull request via les tickets.

N'hésitez pas à nous contacter, à créer des problèmes, si vous avez des questions, des remarques ou des rapports de bugs.

Il existe une branche principale (2.5) et une branche stable pour la 2.4 :

• 2.5 (version stable actuelle) : ce que nous considérons comme stable avec des mises à jour fréquentes sous forme de hot-fixes.
• 2.4 (version stable héritée) : ce que nous considérons comme stable avec des mises à jour fréquentes sous forme de correctifs jusqu'en avril 2025.

Avec deux branches de développement :

• develop (branche principale de développement) : La branche contenant tous les travaux en cours, à fusionner dans la 2.5 à chaque version
• 2.4-develop (branche de développement 2.4) : branche contenant les travaux en cours à fusionner dans la version 2.4 sur chaque version héritée ainsi que des fusions fréquentes dans develop. Nous considérons qu'il s'agit du principal point d'entrée pour un nouveau développement pour 2.x jusqu'à ce que la période de grâce de 6 mois soit écoulée.

Ce logiciel est sous licence GNU Affero General Public License version 3.

• Copyright (C) 2012-2024 Christophe Vandeplas
• Copyright (C) 2012 Défense Belge
• Copyright (C) 2012 OTAN / NCIRC
• Copyright (C) 2013-2024 Andras Iklody
• Copyright (C) 2015-2024 CIRCL - Centre de Réponse aux Incidents Informatiques Luxembourg
• Copyright (C) 2016 Andreas Ziegler
• Copyright (C) 2018-2024 Sami Mokaddem
• Copyright (C) 2018-2024 Christian Studer
• Copyright (C) 2015-2024 Alexandre Dulaunoy
• Copyright (C) 2018-2022 Steve Clément
• Copyright (C) 2020-2024 Jakub Onderka

Pour plus d’informations, la liste des auteurs et contributeurs est disponible.