MISP

MISP é uma solução de software de código aberto para coletar, armazenar, distribuir e compartilhar indicadores e ameaças de segurança cibernética sobre análise de incidentes de segurança cibernética e análise de malware. O MISP foi projetado por e para analistas de incidentes, profissionais de segurança e TIC ou reversores de malware para apoiar suas operações diárias e compartilhar informações estruturadas com eficiência.

O objetivo do MISP é promover o compartilhamento de informações estruturadas dentro da comunidade de segurança e no exterior. O MISP fornece funcionalidades para apoiar a troca de informações, mas também o consumo dessas informações por Sistemas de Detecção de Intrusão de Rede (NIDS), LIDS, mas também ferramentas de análise de log, SIEMs.

● Funções principais ● Site/Suporte ● Instalação ● Documentação ● Contribuição
● Licença

• Uma plataforma completa e robusta de compartilhamento de inteligência contra ameaças que pode ser implantada no local, na nuvem ou como uma solução SaaS, adequada para organizações de todos os tamanhos.
• A inteligência de ameaças, desde indicadores, passando por técnicas até táticas, pode ser facilmente descrita no MISP , desde dados acionáveis ​​legíveis por máquina até relatórios detalhados no formato Markdown.
• Um sistema de relatórios flexível está integrado ao MISP, permitindo a descrição da inteligência de ameaças com referências cruzadas aos componentes legíveis por máquina, incluindo objetos e atributos.
• Uma base de dados rápida e eficiente para pontos de dados atômicos, indicadores para objetos complexos e seletores , permitindo o armazenamento de informações técnicas e não técnicas relacionadas à inteligência de segurança cibernética, bem como a contextos de inteligência mais amplos.
• Motor de correlação automática, revelando relações entre atributos e indicadores de malware, campanhas de ataque, análises ou outras ameaças descritas. O mecanismo de correlação lida com a interligação de atributos correspondentes, bem como com padrões de correlação mais avançados, como sobreposições de hash difuso (por exemplo, ssdeep) e correspondência de blocos CIDR. As correlações também podem ser habilitadas ou desabilitadas por eventos em diferentes níveis de granularidade.
• Um modelo de dados flexível , onde objetos complexos podem ser expressos e vinculados para expressar inteligência sobre ameaças, incidentes ou elementos conectados .
• Funcionalidade de compartilhamento integrada para facilitar a troca de informações, usando modelos de distribuição diferentes e personalizáveis. O MISP pode sincronizar automaticamente eventos e atributos, bem como inteligência de ameaças de nível superior entre diferentes instâncias do MISP. Funcionalidades avançadas de filtragem podem ser usadas para atender à política de compartilhamento de cada organização, incluindo capacidade de grupo de compartilhamento flexível e granularidade até o nível de atributo atômico.
• Uma interface de usuário intuitiva para os usuários finais criarem, atualizarem e colaborarem em eventos e atributos/indicadores, além de uma interface gráfica para navegar perfeitamente entre eventos e suas correlações, bem como uma funcionalidade de gráfico de eventos para criar e visualizar relacionamentos entre objetos e atributos. Funcionalidades avançadas de filtragem e listas de avisos para ajudar os analistas a contribuir com eventos e atributos e limitar o risco de falsos positivos.
• Um sistema de fluxo de trabalho abrangente para facilitar pipelines de dados automáticos e personalizáveis ​​em MISP, incluindo qualificação de dados, análise automatizada, modificação e controle de publicação.
• Armazenamento de dados num formato estruturado, permitindo a utilização automatizada da base de dados para diversos fins, com amplo suporte a indicadores de cibersegurança, indicadores de fraude (ex. no setor financeiro) e contextos de inteligência mais amplos.
• Toda inteligência e informações armazenadas no MISP são acessíveis por meio da UI, mas também por uma extensa API ReST descrita como OpenAPI.
• Exportar : Gere resultados em vários formatos, incluindo vários formatos IDS nativos, OpenIOC, texto simples, CSV, MISP JSON, STIX (XML e JSON) versões 1 e 2, exportações NIDS (Suricata, Snort e Bro/Zeek), zonas RPZ e formatos de cache para ferramentas forenses. Formatos adicionais, como PDF, podem ser facilmente adicionados e estão disponíveis através dos módulos misp ou personalizados como módulos de exportação integrados.
• Importação : suporte para importação de texto livre, importação de URL, importação em massa, importação em lote e importação de formatos de uma longa lista de formatos, incluindo o formato padrão do próprio MISP, STIX 1.x/2.0, CSV ou vários formatos proprietários. Formatos adicionais podem ser facilmente adicionados através do sistema misp-modules.
• Ferramenta flexível de importação de texto livre para simplificar a integração de relatórios não estruturados no MISP, com detecção e conversão automática de relatórios externos por meio de URLs fornecidos e relatórios de texto com conversão automática em relatórios, objetos e atributos MISP.
• Um sistema fácil de usar para colaborar em eventos e atributos, permitindo que os usuários do MISP proponham alterações ou atualizações em atributos/indicadores ou forneçam perspectivas próprias ou contra-análises para informações compartilhadas.
• Um extenso recurso de análise de dados que permite aos analistas adicionar opiniões, relacionamentos ou comentários a qualquer inteligência no MISP, que podem ser compartilhados usando os mecanismos de compartilhamento do MISP.
• Compartilhamento de dados : Troque e sincronize automaticamente informações em tempo real com outras partes e grupos de confiança usando MISP, com suporte para níveis de compartilhamento granulares e grupos de compartilhamento personalizados.
• delegação de compartilhamento : permite um mecanismo simples e pseudoanônimo para delegar a publicação de dados MISP às comunidades.
• API flexível para integrar MISP com suas próprias soluções. O MISP vem junto com o PyMISP, que é uma biblioteca Python flexível para buscar, adicionar ou atualizar atributos de eventos, lidar com amostras de malware ou pesquisar atributos. Uma API restSearch exaustiva para pesquisar facilmente indicadores no MISP e exportá-los em todos os formatos suportados pelo MISP.
• Ferramentas integradas para criar, testar e analisar consultas complexas diretamente na GUI do MISP usando um cliente API modelado e altamente sensível ao contexto.
• Taxonomia ajustável para classificar e marcar eventos seguindo seus próprios esquemas de classificação ou classificação existente. A taxonomia pode ser local para o seu MISP, mas também compartilhável entre instâncias do MISP.
• Vocabulários de inteligência chamados MISP galaxy e agrupados com agentes de ameaças existentes, malware, RAT, ransomware ou MITRE ATT&CK que podem ser facilmente vinculados a eventos, relatórios e atributos no MISP.
• Módulos de expansão em Python para expandir o MISP com seus próprios serviços ou ativar módulos misp já disponíveis.
• Apoio de observação para obter observações de organizações sobre indicadores e atributos compartilhados. O avistamento pode ser contribuído através da interface do usuário MISP e da API como dados MISP ou documentos de avistamento STIX.
• O suporte ao formato padrão MISP é integrado ao MISP e usado por uma longa lista de ferramentas e organizações em todo o mundo. O formato padrão MISP é estável e compatível com conjuntos de dados mais antigos.
• Suporte STIX : importe e exporte dados nos formatos STIX versões 1 e 2, aproveitando a poderosa biblioteca misp-stix.
• Criptografia integrada e assinatura das notificações via GnuPG e/ou S/MIME dependendo das preferências do usuário.
• Recurso de painel : integrado ao MISP, permitindo que usuários e organizações criem e compartilhem configurações personalizadas de painel composto, bem como criem soluções de monitoramento personalizadas diretamente em uma interface de arrastar e soltar.
• Canal de publicação e assinatura em tempo real no MISP para obter automaticamente todas as alterações (por exemplo, novos eventos, indicadores, avistamentos ou marcação) no ZMQ (por exemplo, SkillAegis) ou publicação Kafka.
• Subsistemas de registro flexíveis para ajudar na auditoria do sistema, bem como nas ações da base de usuários no sistema, com vários formatos de saída suportados, bem como uma ampla gama de mecanismos de transporte para necessidades de registro centralizado.
• RBAC personalizável , permitindo que configurações de MISP sejam executadas tanto como uma ferramenta interna permissiva quanto como instâncias comunitárias rigorosamente regulamentadas.
• Assinatura e validação de informações para comunidades de compartilhamento de informações mais diversas e sensíveis.
• Baterias incluídas : Uma longa lista de ferramentas para backups, integração com provedores de identidade e sistemas de autenticação, redes de segurança para prevenção de vazamento de informações (como MISP-Guard), bem como ferramentas de monitoramento de sistema.
• Compromisso de código aberto : o MISP e seus direitos autorais são de propriedade integral de uma licença interligada entre todos os contribuidores, garantindo que nenhuma organização ou empresa possa alterar a licença ou o modelo do MISP. Os usuários do MISP podem confiar que a ferramenta nunca se transformará em uma ferramenta de modelo multicamadas de código fechado/proprietária/semiaberta.

O principal benefício de usar o MISP é sua capacidade de servir como uma plataforma abrangente e robusta para compartilhamento e colaboração de inteligência sobre ameaças , permitindo que organizações de todos os tamanhos:

• Centralize e gerencie a inteligência: armazene, estruture e analise com eficiência a inteligência técnica e não técnica sobre ameaças.
• Melhore a colaboração: compartilhe informações de forma segura e flexível com grupos de confiança, aproveitando mecanismos de compartilhamento granulares e sincronização em tempo real.
• Melhore a detecção e a resposta: correlacione indicadores, enriqueça a inteligência e automatize fluxos de trabalho para aprimorar os recursos de detecção, análise e resposta.
• Promova a integração e a interoperabilidade: integre-se perfeitamente com ferramentas e sistemas existentes usando APIs, extensões modulares e suporte para formatos padrão como STIX e o formato padronizado do próprio MISP.
• Habilite insights acionáveis: forneça inteligência acionável e legível por máquina, além de oferecer suporte a relatórios detalhados para tomada de decisões estratégicas e operacionais.

O MISP capacita as equipes de segurança cibernética com uma plataforma escalonável, flexível e fácil de usar para agilizar seus processos de inteligência contra ameaças e melhorar suas capacidades de defesa coletiva.

Um exemplo de evento codificado em MISP:

Confira o site para obter mais informações sobre software, padrões, ferramentas e comunidades MISP.

Informações, notícias e atualizações também são postadas regularmente na conta Mastodon do projeto MISP, na conta do Twitter e na página de notícias.

Para instalações de teste e produção, recomendamos que você verifique as opções possíveis em misp-project.org/download.

O guia do usuário MISP (livro MISP) está disponível online ou como PDF ou como EPUB ou como MOBI/Kindle.

Também é recomendável ler o FAQ

Se você estiver interessado em contribuir com o projeto MISP, revise nossa página de contribuições. Existem muitas maneiras de contribuir e participar do projeto.

Consulte nosso Código de Conduta.

Sinta-se à vontade para bifurcar o código, brincar com ele, fazer alguns patches e nos enviar solicitações pull por meio dos problemas.

Sinta-se à vontade para nos contatar, criar problemas, se tiver dúvidas, comentários ou relatórios de bugs.

Existe um branch principal (2.5) e um branch estável para 2.4:

• 2.5 (versão estável atual): o que consideramos estável com atualizações frequentes como hot-fixes.
• 2.4 (versão estável herdada): o que consideramos estável com atualizações frequentes como hot-fixes até abril de 2025.

Junto com dois ramos de desenvolvimento:

• desenvolver (ramo principal de desenvolvimento): O ramo que contém todo o trabalho em andamento, a ser mesclado no 2.5 a cada lançamento
• 2.4-develop (ramo de desenvolvimento 2.4): O ramo que contém o trabalho em andamento a ser mesclado no 2.4 em cada versão legada, juntamente com fusões frequentes no desenvolvimento. Consideramos este o principal ponto de entrada para novos desenvolvimentos para 2.x até que o período de carência de 6 meses termine.

Este software está licenciado sob GNU Affero General Public License versão 3

• Direitos autorais (C) 2012-2024 Christophe Vandeplas
• Copyright (C) 2012 Defesa Belga
• Direitos autorais (C) 2012 OTAN/NCIRC
• Direitos autorais (C) 2013-2024 Andras Iklody
• Copyright (C) 2015-2024 CIRCL - Centro de Resposta a Incidentes Informáticos do Luxemburgo
• Direitos autorais (C) 2016 Andreas Ziegler
• Direitos autorais (C) 2018-2024 Sami Mokaddem
• Direitos autorais (C) 2018-2024 Christian Studer
• Copyright (C) 2015-2024 Alexandre Dulaunoy
• Direitos autorais (C) 2018-2022 Steve Clement
• Copyright (C) 2020-2024 Jakub Onderka

Para mais informações, a lista de autores e colaboradores está disponível.