หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

MISP - แพลตฟอร์มแบ่งปันข้อมูลภัยคุกคาม

โลโก้ MISP

MISP เป็นโซลูชันซอฟต์แวร์โอเพ่นซอร์สสำหรับการรวบรวม จัดเก็บ แจกจ่าย และแบ่งปันตัวบ่งชี้ความปลอดภัยทางไซเบอร์และภัยคุกคามเกี่ยวกับการวิเคราะห์เหตุการณ์ความปลอดภัยทางไซเบอร์และการวิเคราะห์มัลแวร์ MISP ได้รับการออกแบบโดยและสำหรับนักวิเคราะห์เหตุการณ์ ผู้เชี่ยวชาญด้านความปลอดภัยและ ICT หรือผู้ย้อนกลับมัลแวร์ เพื่อรองรับการดำเนินงานในแต่ละวันเพื่อแบ่งปันข้อมูลที่มีโครงสร้างอย่างมีประสิทธิภาพ

วัตถุประสงค์ของ MISP คือการส่งเสริมการแบ่งปันข้อมูลที่มีโครงสร้างภายในชุมชนความปลอดภัยและต่างประเทศ MISP มีฟังก์ชันการทำงานเพื่อรองรับการแลกเปลี่ยนข้อมูล แต่ยังรวมไปถึงการใช้ข้อมูลดังกล่าวโดย Network Intrusion Detection Systems (NIDS), LIDS รวมถึงเครื่องมือวิเคราะห์บันทึก, SIEM

● ฟังก์ชันหลัก ● เว็บไซต์ / การสนับสนุน ● การติดตั้ง ● เอกสารประกอบ ● การสนับสนุน
● ใบอนุญาต

รุ่นล่าสุด
ซีไอ
กิตเตอร์
มาสโตดอน
ทวิตเตอร์
รองรับหลายภาษา
ผู้ร่วมให้ข้อมูล
ใบอนุญาต

ฟังก์ชั่นหลัก

  • แพลตฟอร์มแบ่งปันข่าวกรองภัยคุกคามที่สมบูรณ์และมีประสิทธิภาพ ซึ่งสามารถปรับใช้ในองค์กร ในระบบคลาวด์ หรือเป็นโซลูชัน SaaS เหมาะสำหรับองค์กรทุกขนาด
  • ข่าวกรองภัยคุกคาม ตั้งแต่ตัวบ่งชี้ จนถึงเทคนิคไปจนถึงยุทธวิธี สามารถอธิบายได้อย่างง่ายดายใน MISP ตั้งแต่ข้อมูลการดำเนินการที่เครื่องอ่านได้ ไปจนถึงรายงานโดยละเอียดในรูปแบบ Markdown
  • ระบบการรายงานที่ยืดหยุ่นถูกรวมเข้ากับ MISP ซึ่งช่วยให้สามารถอธิบายข้อมูลภัยคุกคามอัจฉริยะพร้อมการอ้างอิงโยงไปยังส่วนประกอบที่เครื่องอ่านได้ รวมถึงออบเจ็กต์และคุณลักษณะ
  • ฐานข้อมูลที่รวดเร็วและมีประสิทธิภาพสำหรับจุดข้อมูลอะตอมมิก ตัวบ่งชี้วัตถุที่ซับซ้อนและตัวเลือก ช่วยให้สามารถจัดเก็บข้อมูลทั้งทางเทคนิคและไม่ใช่ทางเทคนิคที่เกี่ยวข้องกับข่าวกรองด้านความปลอดภัยทางไซเบอร์ตลอดจนบริบทข่าวกรองที่กว้างขึ้น
  • เครื่องมือ สร้างความสัมพันธ์ อัตโนมัติ เปิดเผยความสัมพันธ์ระหว่างคุณลักษณะและตัวบ่งชี้มัลแวร์ แคมเปญโจมตี การวิเคราะห์ หรือภัยคุกคามอื่น ๆ ที่อธิบายไว้ กลไกความสัมพันธ์จะจัดการการเชื่อมโยงระหว่างคุณลักษณะที่ตรงกันตลอดจนรูปแบบความสัมพันธ์ขั้นสูง เช่น การทับซ้อนของแฮชแบบคลุมเครือ (เช่น ssdeep) และการจับคู่บล็อก CIDR ยังสามารถเปิดใช้งานความสัมพันธ์หรือปิดใช้งานเหตุการณ์ในระดับรายละเอียดที่แตกต่างกันได้
  • โมเดลข้อมูลที่ยืดหยุ่น ซึ่งสามารถแสดงและ เชื่อมโยงออบเจ็กต์ที่ซับซ้อนเข้าด้วยกันเพื่อแสดงข่าวกรองเกี่ยวกับภัยคุกคาม เหตุการณ์ หรือองค์ประกอบที่เชื่อมโยงกัน
  • ฟังก์ชันการแบ่งปัน ในตัวเพื่อความสะดวกในการแลกเปลี่ยนข้อมูล โดยใช้รูปแบบการกระจายที่แตกต่างกันและปรับแต่งได้ MISP สามารถซิงโครไนซ์เหตุการณ์และคุณลักษณะได้โดยอัตโนมัติ รวมถึงข้อมูลภัยคุกคามระดับที่สูงขึ้นระหว่างอินสแตนซ์ MISP ต่างๆ ฟังก์ชันการกรองขั้นสูงสามารถใช้เพื่อให้เป็นไปตามนโยบายการแบ่งปันของแต่ละองค์กร รวมถึงความสามารถ ของกลุ่มการแบ่งปันที่ยืดหยุ่น และรายละเอียดจนถึงระดับแอตทริบิวต์อะตอมมิก
  • อิน เทอร์เฟซผู้ใช้ที่ใช้งานง่าย สำหรับผู้ใช้เพื่อสร้าง อัปเดต และทำงานร่วมกันในเหตุการณ์และคุณลักษณะ/ตัวบ่งชี้ นอกเหนือจาก อินเทอร์เฟซแบบกราฟิก เพื่อนำทางระหว่างเหตุการณ์และความสัมพันธ์ได้อย่างราบรื่น ตลอดจนฟังก์ชัน กราฟเหตุการณ์ เพื่อสร้างและดูความสัมพันธ์ระหว่างวัตถุ และคุณลักษณะ ฟังก์ชันการกรองขั้นสูงและรายการคำเตือนเพื่อช่วยให้นักวิเคราะห์มีส่วนร่วมในเหตุการณ์และคุณลักษณะ และจำกัดความเสี่ยงของผลบวกลวง
  • ระบบขั้นตอนการทำงาน ที่ครอบคลุมเพื่ออำนวยความสะดวกไปป์ไลน์ข้อมูลอัตโนมัติที่ปรับแต่งได้ใน MISP รวมถึงการตรวจสอบคุณสมบัติข้อมูล การวิเคราะห์อัตโนมัติ การแก้ไข และการควบคุมการเผยแพร่
  • การจัดเก็บข้อมูล ในรูปแบบที่มีโครงสร้าง ช่วยให้สามารถใช้ฐานข้อมูลโดยอัตโนมัติเพื่อวัตถุประสงค์ต่างๆ พร้อมการสนับสนุนอย่างกว้างขวางสำหรับตัวบ่งชี้ความปลอดภัยทางไซเบอร์ ตัวบ่งชี้การฉ้อโกง (เช่น ในภาคการเงิน) และบริบทข่าวกรองที่กว้างขึ้น
  • ข้อมูลอัจฉริยะและข้อมูลทั้งหมดที่จัดเก็บไว้ใน MISP สามารถเข้าถึงได้ผ่านทาง UI แต่ยังรวมถึง ReST API ที่ครอบคลุมซึ่งอธิบายว่าเป็น OpenAPI
  • ส่งออก : สร้างเอาต์พุตในรูปแบบต่างๆ รวมถึงรูปแบบ IDS ดั้งเดิมต่างๆ, OpenIOC, ข้อความธรรมดา, CSV, MISP JSON, STIX (XML และ JSON) เวอร์ชัน 1 และ 2, การส่งออก NIDS (Suricata, Snort และ Bro/Zeek), โซน RPZ และรูปแบบแคชสำหรับเครื่องมือทางนิติวิทยาศาสตร์ คุณสามารถเพิ่มรูปแบบเพิ่มเติม เช่น PDF ได้อย่างง่ายดายและพร้อมใช้งานผ่านโมดูล misp หรือปรับแต่งตามโมดูลการส่งออกในตัว
  • การนำเข้า : รองรับการนำเข้าข้อความอิสระ การนำเข้า URL การนำเข้าจำนวนมาก การนำเข้าเป็นชุด และการนำเข้าจากรูปแบบที่มีรายการรูปแบบยาว รวมถึงรูปแบบมาตรฐานของ MISP, STIX 1.x/2.0, CSV หรือรูปแบบที่เป็นกรรมสิทธิ์ต่างๆ สามารถเพิ่มรูปแบบเพิ่มเติมได้อย่างง่ายดายผ่านระบบ misp-modules
  • เครื่องมือ นำเข้าข้อความอิสระ ที่ยืดหยุ่นเพื่อลดความซับซ้อนในการรวมรายงานที่ไม่มีโครงสร้างเข้ากับ MISP ด้วยการตรวจหาและการแปลงรายงานภายนอกโดยอัตโนมัติผ่านทาง URL และรายงานข้อความที่ให้มา พร้อมด้วยการแปลงอัตโนมัติในรายงาน MISP ออบเจ็กต์ และแอตทริบิวต์
  • ระบบที่เป็นมิตรกับผู้ใช้ในการ ทำงานร่วมกัน ในเหตุการณ์และคุณลักษณะที่ช่วยให้ผู้ใช้ MISP สามารถเสนอการเปลี่ยนแปลงหรืออัปเดตคุณลักษณะ/ตัวบ่งชี้ หรือให้มุมมองของตนเองหรือการวิเคราะห์สวนทางกับข้อมูลที่แบ่งปัน
  • คุณลักษณะการวิเคราะห์ข้อมูลที่ครอบคลุม ช่วยให้นักวิเคราะห์สามารถเพิ่มความคิดเห็น ความสัมพันธ์ หรือความคิดเห็นไปยังข่าวกรองใดๆ ใน MISP ซึ่งสามารถแบ่งปันได้โดยใช้กลไกการแบ่งปันของ MISP
  • การแชร์ข้อมูล : แลกเปลี่ยนและซิงโครไนซ์ข้อมูลแบบเรียลไทม์กับฝ่ายอื่นๆ และกลุ่มที่เชื่อถือได้โดยใช้ MISP พร้อมรองรับระดับการแชร์แบบละเอียดและกลุ่มการแชร์แบบกำหนดเอง
  • การมอบหมายการแบ่งปัน : อนุญาตให้มีกลไกที่เรียบง่ายและไม่เปิดเผยตัวตนเพื่อมอบหมายการเผยแพร่ข้อมูล MISP ให้กับชุมชน
  • API ที่ยืดหยุ่นเพื่อรวม MISP เข้ากับโซลูชันของคุณเอง MISP มาพร้อมกับ PyMISP ซึ่งเป็นไลบรารี Python ที่ยืดหยุ่นในการดึงข้อมูล เพิ่มหรืออัปเดตแอตทริบิวต์ของเหตุการณ์ จัดการตัวอย่างมัลแวร์ หรือค้นหาแอตทริบิวต์ RestSearch API ที่ครบถ้วนสมบูรณ์เพื่อค้นหาตัวบ่งชี้ใน MISP ได้อย่างง่ายดาย และส่งออกตัวบ่งชี้เหล่านั้นในทุกรูปแบบที่ MISP รองรับ
  • เครื่องมือในตัวเพื่อสร้าง ทดสอบ และวิเคราะห์การสืบค้นที่ซับซ้อนโดยตรงใน MISP GUI โดยใช้ไคลเอ็นต์ API เทมเพลตที่รับรู้บริบทในระดับสูง
  • อนุกรมวิธานที่ปรับได้ เพื่อจัดประเภทและแท็กเหตุการณ์ตามรูปแบบการจัดหมวดหมู่ของคุณเองหรือการจัดหมวดหมู่ที่มีอยู่ อนุกรมวิธานสามารถอยู่ในเครื่องของ MISP ของคุณ แต่ยังแชร์ระหว่างอินสแตนซ์ MISP ได้ด้วย
  • คำศัพท์อัจฉริยะ ที่เรียกว่า MISP galaxy และรวมเข้ากับผู้คุกคาม มัลแวร์ RAT แรนซัมแวร์ หรือ MITER ATT&CK ที่มีอยู่ ซึ่งสามารถเชื่อมโยงกับเหตุการณ์ รายงาน และคุณลักษณะใน MISP ได้อย่างง่ายดาย
  • โมดูลส่วนขยายใน Python เพื่อขยาย MISP ด้วยบริการของคุณเองหรือเปิดใช้งานโมดูล misp ที่มีอยู่แล้ว
  • การสนับสนุนการมองเห็น เพื่อรับข้อสังเกตจากองค์กรเกี่ยวกับตัวบ่งชี้และคุณลักษณะที่ใช้ร่วมกัน การเล็งสามารถสนับสนุนผ่านอินเทอร์เฟซผู้ใช้ MISP และ API เป็นข้อมูล MISP หรือเอกสารการเล็ง STIX
  • การสนับสนุน รูปแบบมาตรฐาน MISP ถูกรวมเข้ากับ MISP และใช้งานโดยเครื่องมือและองค์กรต่างๆ มากมายทั่วโลก รูปแบบมาตรฐาน MISP มีความเสถียรและเข้ากันได้กับชุดข้อมูลรุ่นเก่า
  • รองรับ STIX : นำเข้าและส่งออกข้อมูลในรูปแบบ STIX เวอร์ชัน 1 และ 2 โดยใช้ประโยชน์จากไลบรารี misp-stix อันทรงพลัง
  • การเข้ารหัสแบบรวมและการลงนามการแจ้งเตือน ผ่าน GnuPG และ/หรือ S/MIME ขึ้นอยู่กับการตั้งค่าของผู้ใช้
  • คุณลักษณะแดชบอร์ด : ผสานรวมเข้ากับ MISP ช่วยให้ผู้ใช้และองค์กรสามารถสร้างและแบ่งปันการกำหนดค่าแดชบอร์ดแบบรวมแบบกำหนดเอง รวมถึงสร้างโซลูชันการตรวจสอบตามความต้องการได้โดยตรงในอินเทอร์เฟซแบบลากและวาง
  • ช่องเผยแพร่และสมัครสมาชิก แบบเรียลไท ม์ภายใน MISP เพื่อรับการเปลี่ยนแปลงทั้งหมดโดยอัตโนมัติ (เช่น เหตุการณ์ใหม่ ตัวบ่งชี้ การพบเห็น หรือการแท็ก) ใน ZMQ (เช่น SkillAegis) หรือการเผยแพร่ Kafka
  • ระบบย่อย การบันทึกที่ยืดหยุ่น เพื่อช่วยในการตรวจสอบระบบตลอดจนการดำเนินการของฐานผู้ใช้บนระบบ โดยรองรับรูปแบบเอาต์พุตที่หลากหลาย รวมถึงกลไกการขนส่งที่หลากหลายสำหรับความต้องการการบันทึกแบบรวมศูนย์
  • RBAC ที่ปรับแต่งได้ ทำให้สามารถเรียกใช้การกำหนดค่า MISP ทั้งในฐานะเครื่องมือภายในที่ได้รับอนุญาตและอินสแตนซ์ชุมชนที่ได้รับการควบคุมอย่างเข้มงวด
  • การลงนามและการตรวจสอบข้อมูล สำหรับชุมชนการแบ่งปันข้อมูลที่มีความหลากหลายและละเอียดอ่อนมากขึ้น
  • รวมแบตเตอรี่ : รายการเครื่องมือจำนวนมากสำหรับการสำรองข้อมูล การบูรณาการกับผู้ให้บริการข้อมูลประจำตัวและระบบการตรวจสอบสิทธิ์ เครือข่ายความปลอดภัยในการป้องกันการรั่วไหลของข้อมูล (เช่น MISP-Guard) รวมถึงเครื่องมือตรวจสอบระบบ
  • ความมุ่งมั่นแบบโอเพ่นซอร์ส : MISP และลิขสิทธิ์เป็นกรรมสิทธิ์โดยสมบูรณ์ของใบอนุญาตที่เชื่อมต่อกันระหว่างผู้ร่วมให้ข้อมูลทั้งหมด ทำให้มั่นใจได้ว่าไม่มีองค์กรหรือบริษัทใดสามารถเปลี่ยนใบอนุญาตหรือรุ่นของ MISP ได้ ผู้ใช้ MISP สามารถพึ่งพาเครื่องมือนี้ได้โดยไม่ต้องเปลี่ยนเป็นเครื่องมือแบบจำลองหลายระดับแบบแหล่งปิด / กรรมสิทธิ์ / กึ่งเปิด

ข้อได้เปรียบหลัก

ประโยชน์หลักของการใช้ MISP คือความสามารถในการทำหน้าที่เป็น แพลตฟอร์มที่ครอบคลุมและมีประสิทธิภาพสำหรับการแบ่งปันข่าวกรองภัยคุกคามและการทำงานร่วมกัน ช่วยให้องค์กรทุกขนาดสามารถ:

  • รวมศูนย์และจัดการข่าวกรอง: จัดเก็บ จัดโครงสร้าง และวิเคราะห์ข่าวกรองภัยคุกคามทั้งทางเทคนิคและไม่ใช่ด้านเทคนิคอย่างมีประสิทธิภาพ
  • ปรับปรุงการทำงานร่วมกัน: แบ่งปันข้อมูลอย่างปลอดภัยและยืดหยุ่นกับกลุ่มที่เชื่อถือได้ ใช้ประโยชน์จากกลไกการแบ่งปันแบบละเอียดและการซิงโครไนซ์แบบเรียลไทม์
  • ปรับปรุงการตรวจจับและการตอบสนอง: เชื่อมโยงตัวบ่งชี้ เพิ่มความฉลาด และทำให้เวิร์กโฟลว์เป็นอัตโนมัติเพื่อปรับปรุงความสามารถในการตรวจจับ การวิเคราะห์ และการตอบสนอง
  • ส่งเสริมการบูรณาการและการทำงานร่วมกัน: บูรณาการอย่างราบรื่นกับเครื่องมือและระบบที่มีอยู่โดยใช้ API ส่วนขยายแบบโมดูลาร์ และการสนับสนุนรูปแบบมาตรฐาน เช่น รูปแบบมาตรฐานของ STIX และ MISP เอง
  • เปิดใช้งานข้อมูลเชิงลึกที่ดำเนินการได้: ให้ข้อมูลอัจฉริยะที่ดำเนินการได้และอ่านได้ด้วยเครื่อง ในขณะเดียวกันก็สนับสนุนการรายงานโดยละเอียดสำหรับการตัดสินใจเชิงกลยุทธ์และการปฏิบัติงาน

MISP เพิ่มศักยภาพให้กับทีมรักษาความปลอดภัยทางไซเบอร์ด้วยแพลตฟอร์มที่ปรับขนาดได้ ยืดหยุ่น และใช้งานง่าย เพื่อปรับปรุงกระบวนการข่าวกรองภัยคุกคามและปรับปรุงความสามารถในการป้องกันโดยรวม

เหตุการณ์ตัวอย่างที่เข้ารหัสใน MISP:

MISP event view

เว็บไซต์ / การสนับสนุน

ชำระเงินที่เว็บไซต์เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับซอฟต์แวร์ MISP มาตรฐาน เครื่องมือ และชุมชน

ข้อมูล ข่าวสาร และการอัปเดตยังถูกโพสต์เป็นประจำในบัญชี Mastodon ของโครงการ MISP บัญชี Twitter และหน้าข่าว

การติดตั้ง

สำหรับการทดสอบและการติดตั้งที่ใช้งานจริง เราขอแนะนำให้คุณตรวจสอบตัวเลือกที่เป็นไปได้ใน misp-project.org/download

เอกสารประกอบ

คู่มือผู้ใช้ MISP (หนังสือ MISP) มีให้ใช้งานทางออนไลน์หรือในรูปแบบ PDF หรือ EPUB หรือเป็น MOBI/Kindle

ขอแนะนำให้อ่านคำถามที่พบบ่อยด้วย

มีส่วนร่วม

หากคุณสนใจที่จะสนับสนุนโครงการ MISP โปรดดูหน้าการมีส่วนร่วมของเรา มีหลายวิธีในการสนับสนุนและมีส่วนร่วมในโครงการ

โปรดดูจรรยาบรรณของเรา

อย่าลังเลที่จะแยกโค้ด เล่นกับมัน สร้างแพตช์ และส่งคำขอดึงข้อมูลผ่านปัญหาต่างๆ ให้เรา

อย่าลังเลที่จะติดต่อเรา สร้างปัญหา หากคุณมีคำถาม ข้อสังเกต หรือรายงานข้อผิดพลาด

มีหนึ่งสาขาหลัก (2.5) และหนึ่งสาขาที่มั่นคงสำหรับ 2.4:

  • 2.5 (เวอร์ชันเสถียรในปัจจุบัน): สิ่งที่เราถือว่ามีความเสถียรพร้อมการอัปเดตบ่อยครั้งเช่นการแก้ไขด่วน
  • 2.4 (เวอร์ชันเสถียรแบบเดิม): สิ่งที่เราถือว่าเสถียรโดยมีการอัปเดตบ่อยครั้งเป็นการแก้ไขด่วนจนถึงเดือนเมษายน 2025

พร้อมด้วยสองสาขาการพัฒนา:

  • พัฒนา (สาขา dev หลัก): สาขาที่มีงานที่กำลังดำเนินอยู่ทั้งหมด ซึ่งจะรวมเป็น 2.5 ในแต่ละรีลีส
  • 2.4-develop (สาขา 2.4 dev): สาขาที่มีงานที่กำลังดำเนินอยู่ที่จะรวมเข้ากับ 2.4 ในแต่ละรุ่นดั้งเดิมพร้อมกับการผสานบ่อยครั้งในการพัฒนา เราถือว่านี่เป็นจุดเริ่มต้นหลักสำหรับการพัฒนาใหม่สำหรับ 2.x จนกว่าระยะเวลาผ่อนผัน 6 เดือนจะสิ้นสุดลง

ใบอนุญาต

ซอฟต์แวร์นี้ได้รับอนุญาตภายใต้ GNU Affero General Public License เวอร์ชัน 3

  • ลิขสิทธิ์ (C) 2012-2024 Christophe Vandeplas
  • ลิขสิทธิ์ (C) 2012 กลาโหมเบลเยียม
  • ลิขสิทธิ์ (C) 2012 NATO / NCIRC
  • ลิขสิทธิ์ (C) 2013-2024 Andras Iklody
  • ลิขสิทธิ์ (C) 2015-2024 CIRCL - ศูนย์ตอบสนองต่อเหตุการณ์ทางคอมพิวเตอร์ลักเซมเบิร์ก
  • ลิขสิทธิ์ (C) 2016 Andreas Ziegler
  • ลิขสิทธิ์ (C) 2018-2024 Sami Mokaddem
  • ลิขสิทธิ์ (C) 2018-2024 คริสเตียน สตูเดอร์
  • ลิขสิทธิ์ (C) 2015-2024 Alexandre Dulaunoy
  • ลิขสิทธิ์ (C) 2018-2022 สตีฟ เคลเมนท์
  • ลิขสิทธิ์ (C) 2020-2024 Jakub Onderka

สำหรับข้อมูลเพิ่มเติม สามารถดูรายชื่อผู้เขียนและผู้มีส่วนร่วมได้

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด