MISP

MISP — это программное решение с открытым исходным кодом для сбора, хранения, распространения и совместного использования показателей кибербезопасности и угроз, анализа инцидентов кибербезопасности и анализа вредоносного ПО. MISP разработан аналитиками инцидентов, специалистами по безопасности и ИКТ или специалистами по обращению вредоносных программ и для них для поддержки их повседневных операций по эффективному обмену структурированной информацией.

Целью MISP является содействие обмену структурированной информацией внутри сообщества безопасности и за рубежом. MISP предоставляет функции для поддержки обмена информацией, а также ее использования системами обнаружения сетевых вторжений (NIDS), LIDS, а также инструментами анализа журналов, SIEM.

● Основные функции ● Веб-сайт/Поддержка ● Установка ● Документация ● Участие
● Лицензия

• Полноценная и надежная платформа для обмена информацией об угрозах , которую можно развернуть локально, в облаке или в виде SaaS-решения, подходящего для организаций любого размера.
• Аналитика угроз, начиная от индикаторов, методов и тактики, может быть легко описана в MISP : от машиночитаемых данных для принятия мер до подробных отчетов в формате Markdown.
• В MISP интегрирована гибкая система отчетов, позволяющая описывать аналитические данные об угрозах с перекрестными ссылками на машиночитаемые компоненты, включая объекты и атрибуты.
• Быстрая и эффективная база данных для атомарных точек данных, индикаторов для сложных объектов и селекторов , позволяющая хранить как техническую, так и нетехническую информацию, связанную с аналитикой кибербезопасности, а также с более широким контекстом разведки.
• Механизм автоматической корреляции , выявляющий взаимосвязь между атрибутами и индикаторами вредоносного ПО, кампаниями атак, анализами или другими описанными угрозами. Механизм корреляции обрабатывает взаимосвязь совпадающих атрибутов, а также более сложные шаблоны корреляции, такие как нечеткое перекрытие хеширования (например, ssdeep) и сопоставление блоков CIDR. Корреляции также можно включить или отключить по событиям на разных уровнях детализации.
• Гибкая модель данных , в которой сложные объекты могут быть выражены и связаны вместе для отображения информации об угрозах, инцидентах или связанных элементах .
• Встроенная функция совместного использования для упрощения обмена информацией с использованием различных настраиваемых моделей распространения. MISP может автоматически синхронизировать события и атрибуты, а также анализ угроз более высокого уровня между различными экземплярами MISP. Расширенные функции фильтрации могут использоваться для соответствия политике общего доступа каждой организации, включая гибкие возможности групп общего доступа и детализацию вплоть до атомарного уровня атрибутов.
• Интуитивно понятный пользовательский интерфейс, позволяющий конечным пользователям создавать, обновлять и совместно работать над событиями и атрибутами/индикаторами, а также графический интерфейс для плавной навигации между событиями и их взаимосвязями, а также функцию графика событий для создания и просмотра взаимосвязей между объектами. и атрибуты. Расширенные функции фильтрации и списки предупреждений помогают аналитикам вносить данные о событиях и атрибутах и ​​ограничивают риск ложных срабатываний.
• Комплексная система рабочих процессов для упрощения автоматических настраиваемых конвейеров данных в MISP, включая квалификацию данных, автоматический анализ, модификацию и контроль публикаций.
• Хранение данных в структурированном формате, позволяющем автоматически использовать базу данных для различных целей, с широкой поддержкой показателей кибербезопасности, показателей мошенничества (например, в финансовом секторе) и более широкого контекста разведки.
• Вся информация и данные, хранящиеся в MISP, доступны через пользовательский интерфейс, а также через обширный API ReST, называемый OpenAPI.
• Экспорт : создание выходных данных в различных форматах, включая различные собственные форматы IDS, OpenIOC, обычный текст, CSV, MISP JSON, STIX (XML и JSON) версий 1 и 2, экспорт NIDS (Suricata, Snort и Bro/Zeek), зоны RPZ. и форматы кэша для инструментов судебной экспертизы. Дополнительные форматы, такие как PDF, можно легко добавить и они доступны через модули misp или настроены как встроенные модули экспорта.
• Импорт : Поддержка импорта произвольного текста, импорта URL-адресов, массового импорта, пакетного импорта и импорта из длинного списка форматов, включая собственный стандартный формат MISP, STIX 1.x/2.0, CSV или различные собственные форматы. Дополнительные форматы можно легко добавить через систему мисп-модулей.
• Гибкий инструмент импорта произвольного текста для упрощения интеграции неструктурированных отчетов в MISP с автоматическим обнаружением и преобразованием внешних отчетов через предоставленные URL-адреса и текстовых отчетов с автоматическим преобразованием в отчеты, объекты и атрибуты MISP.
• Удобная для пользователя система для совместной работы над событиями и атрибутами, позволяющая пользователям MISP предлагать изменения или обновления атрибутов/индикаторов или предоставлять собственные точки зрения или контранализ общей информации.
• Обширная функция анализа данных, позволяющая аналитикам добавлять мнения, взаимосвязи или комментарии к любой аналитической информации в MISP, которой можно делиться с помощью механизмов обмена MISP.
• Совместное использование данных : автоматически обменивайтесь и синхронизируйте информацию в режиме реального времени с другими сторонами и группами доверия с помощью MISP, с поддержкой детальных уровней общего доступа и настраиваемых групп общего доступа.
• делегирование обмена : позволяет использовать простой псевдоанонимный механизм делегирования публикации данных MISP сообществам.
• Гибкий API для интеграции MISP с вашими собственными решениями. MISP поставляется с PyMISP, гибкой библиотекой Python для извлечения, добавления или обновления атрибутов событий, обработки образцов вредоносного ПО или поиска атрибутов. Исчерпывающий API restSearch для легкого поиска индикаторов в MISP и экспорта их во все форматы, поддерживаемые MISP.
• Встроенные инструменты для создания, тестирования и анализа сложных запросов непосредственно в графическом интерфейсе MISP с использованием шаблонизированного клиента API с высокой контекстной поддержкой.
• Настраиваемая таксономия для классификации и маркировки событий в соответствии с вашими собственными схемами классификации или существующей классификацией. Таксономия может быть локальной для вашего MISP, но также может использоваться совместно другими экземплярами MISP.
• Словари разведки, называемые галактикой MISP и объединенные с существующими субъектами угроз, вредоносным ПО, RAT, программами-вымогателями или MITRE ATT&CK, которые можно легко связать с событиями, отчетами и атрибутами в MISP.
• Модули расширения на Python для расширения MISP своими сервисами или активации уже имеющихся мисп-модулей.
• Визуальная поддержка для получения наблюдений от организаций относительно общих показателей и атрибутов. Визирование можно внести через пользовательский интерфейс MISP и API в виде данных MISP или документов визирования STIX.
• Поддержка стандартного формата MISP интегрирована в MISP и используется множеством инструментов и организаций по всему миру. Стандартный формат MISP стабилен и обратно совместим со старыми наборами данных.
• Поддержка STIX : Импортируйте и экспортируйте данные в форматы STIX версий 1 и 2 с использованием мощной библиотеки мисп-стикс.
• Интегрированное шифрование и подписание уведомлений через GnuPG и/или S/MIME в зависимости от предпочтений пользователя.
• Функция информационной панели : интегрирована в MISP, что позволяет пользователям и организациям создавать и совместно использовать пользовательские конфигурации составных информационных панелей, а также создавать индивидуальные решения для мониторинга непосредственно в интерфейсе перетаскивания.
• Канал публикации-подписки в реальном времени в рамках MISP для автоматического получения всех изменений (например, новых событий, индикаторов, наблюдений или тегов) в ZMQ (например, SkillAegis) или публикации Kafka.
• Гибкие подсистемы журналирования, помогающие проводить аудит системы, а также действий пользователей в системе, с поддержкой различных форматов вывода, а также широким спектром транспортных механизмов для централизованного журналирования.
• Настраиваемый RBAC , позволяющий запускать конфигурации MISP как в качестве разрешительного внутреннего инструмента, так и в качестве строго регулируемых экземпляров сообщества.
• Подписание и проверка информации для более разнообразных и конфиденциальных сообществ по обмену информацией.
• В комплект поставки входят : длинный список инструментов для резервного копирования, интеграции с поставщиками удостоверений и системами аутентификации, системы безопасности для предотвращения утечки информации (например, MISP-Guard), а также инструменты мониторинга системы.
• Обязательства по открытому исходному коду : MISP и его авторские права полностью принадлежат взаимосвязанной лицензии между всеми участниками, гарантируя, что ни одна организация или компания никогда не сможет изменить лицензию или модель MISP. Пользователи MISP могут быть уверены в том, что этот инструмент никогда не превратится в инструмент с закрытым исходным кодом, проприетарный или полуоткрытый инструмент многоуровневой модели.

Основным преимуществом использования MISP является его способность служить комплексной и надежной платформой для обмена информацией об угрозах и совместной работы , позволяющей организациям любого размера:

• Централизуйте и управляйте аналитическими данными: эффективно храните, структурируйте и анализируйте как технические, так и нетехнические данные об угрозах.
• Улучшите сотрудничество: безопасно и гибко обменивайтесь информацией с группами доверия, используя механизмы детального обмена и синхронизацию в реальном времени.
• Улучшите обнаружение и реагирование: сопоставьте индикаторы, обогатите аналитические данные и автоматизируйте рабочие процессы для расширения возможностей обнаружения, анализа и реагирования.
• Обеспечьте интеграцию и совместимость: прозрачная интеграция с существующими инструментами и системами с использованием API, модульных расширений и поддержки стандартных форматов, таких как STIX и собственный стандартизированный формат MISP.
• Предоставляйте полезную информацию: предоставляйте полезную, машиночитаемую информацию, а также поддерживайте подробную отчетность для принятия стратегических и оперативных решений.

MISP предоставляет командам по кибербезопасности масштабируемую, гибкую и удобную платформу для оптимизации процессов анализа угроз и улучшения возможностей коллективной защиты.

Пример события, закодированного в MISP:

Посетите веб-сайт для получения дополнительной информации о программном обеспечении, стандартах, инструментах и ​​сообществах MISP.

Информация, новости и обновления также регулярно публикуются в аккаунте Mastodon проекта MISP, в Твиттере и на странице новостей.

Для тестовых и производственных установок мы рекомендуем вам просмотреть возможные варианты на сайте misp-project.org/download.

Руководство пользователя MISP (книга MISP) доступно в Интернете, в формате PDF, в формате EPUB или в формате MOBI/Kindle.

Также рекомендуется прочитать FAQ

Если вы хотите внести свой вклад в проект MISP, просмотрите нашу страницу участия. Есть много способов внести свой вклад и принять участие в проекте.

Пожалуйста, ознакомьтесь с нашим Кодексом поведения.

Не стесняйтесь форкнуть код, поиграться с ним, внести несколько исправлений и отправить нам запросы на включение через проблемы.

Не стесняйтесь обращаться к нам, создавайте проблемы, если у вас есть вопросы, замечания или отчеты об ошибках.

Существует одна основная ветка (2.5) и одна стабильная ветка для 2.4:

• 2.5 (текущая стабильная версия): которую мы считаем стабильной, с частыми обновлениями в виде исправлений.
• 2.4 (устаревшая стабильная версия): мы считаем стабильной с частыми обновлениями в виде исправлений до апреля 2025 года.

Наряду с двумя ветками разработки:

• development (основная ветка разработки): ветка, содержащая всю текущую работу, которая будет объединена с версией 2.5 при каждом выпуске.
• 2.4-develop (ветвь разработки 2.4): ветка, содержащая текущую работу, которая будет объединена с версией 2.4 в каждом устаревшем выпуске, а также частые слияния с разработкой. Мы считаем это основной отправной точкой для новой разработки версии 2.x до истечения шестимесячного льготного периода.

Это программное обеспечение распространяется по лицензии GNU Affero General Public License версии 3.

• Copyright (C) 2012–2024 Кристоф Вандеплас
• Авторское право (C) 2012 г., Защита Бельгии
• Авторское право (C) 2012 НАТО/NCIRC
• Copyright (C) 2013-2024 Андрас Иклоди
• Copyright (C) 2015-2024 CIRCL - Центр реагирования на компьютерные инциденты, Люксембург
• Авторские права (C) 2016 Андреас Циглер
• Copyright (C) 2018-2024 Сами Мокаддем
• Copyright (C) 2018-2024 Кристиан Штудер
• Copyright (C) 2015-2024 Александр Дюлануа
• Copyright (C) 2018-2022 Стив Клемент
• Copyright (C) 2020-2024 Якуб Ондерка

Для получения дополнительной информации доступен список авторов и участников.