MISP, olay ve kötü amaçlı yazılım analiziyle ilgili siber güvenlik göstergelerini ve tehditleri toplamak, depolamak, dağıtmak ve paylaşmak için açık kaynaklı bir tehdit istihbaratı ve paylaşım platformudur.
MISP, siber güvenlik, BT uzmanları ve kötü amaçlı yazılım geri dönüşümcüleri tarafından, yapılandırılmış bilgileri verimli bir şekilde paylaşarak günlük operasyonlarını desteklemek amacıyla tasarlanmıştır.
MISP’nin temel amacı, yapılandırılmış bilgilerin güvenlik topluluğu içinde ve ötesinde paylaşılmasını teşvik etmektir. MISP, Ağ Saldırı Algılama Sistemleri (NIDS), Kayıt Tabanlı Saldırı Algılama Sistemleri (LIDS), kayıt analiz araçları ve Güvenlik Bilgi ve Olay Yönetim sistemleri (SIEM’ler) tarafından bilgi alışverişini ve tüketimini kolaylaştırmak için işlevler sunar.
Temel işlevler
- Kötü amaçlı yazılım örnekleri, olaylar vb. hakkında teknik ve teknik olmayan bilgilerin depolanmasına olanak tanıyan etkili bir IOC ve gösterge veritabanı.
- Kötü amaçlı yazılımlardan, saldırı kampanyalarından veya analizlerden gelen nitelikler ve göstergeler arasındaki ilişkileri keşfetmek için otomatik korelasyon motoru.
- Karmaşık nesnelerin ifade edilebildiği ve tehdit istihbaratını, olayları veya bağlı unsurları ifade etmek için bağlanabildiği esnek bir veri modeli.
- Tehdit bilgilerinin paylaşımını kolaylaştırmak için yerleşik paylaşım işlevleri.
- Son kullanıcıların etkinlikler, nitelikler/göstergeler oluşturması, güncellemesi ve bunlar üzerinde işbirliği yapması için sezgisel bir kullanıcı arayüzü.
- Siber güvenlik ve dolandırıcılık göstergelerinin desteğiyle finans sektöründe olduğu gibi verilerin yapılandırılmış bir formatta saklanması.
- Yapılandırılmamış raporların entegrasyonunu kolaylaştırmak için metin içe aktarma aracı.
- MISP kullanıcılarının niteliklere/göstergelere değişiklik veya güncelleme önermelerine olanak tanıyan, etkinlikler ve nitelikler üzerinde işbirliği yapmaya yönelik kullanıcı dostu sistem.
- Veri paylaşımı: MISP kullanarak diğer taraflar ve güven gruplarıyla otomatik olarak veri alışverişi yapın ve senkronize edin.
- Paylaşımın devredilmesi: Etkinlik/göstergelerin yayımlanmasının başka bir kuruluşa devredilmesini sağlayan basit, yarı anonim bir mekanizmaya olanak tanır.
- MISP’yi kendi çözümlerinizle entegre etmenizi sağlayan esnek API.
- Kendi sınıflandırma şemalarınıza veya mevcut sınıflandırmanıza göre olayları sınıflandırmak ve etiketlemek için ayarlanabilir taksonomi.
- MISP galaksisi adı verilen ve mevcut tehdit aktörleri, kötü amaçlı yazılımlar, RAT, fidye yazılımları veya MITRE ATT&CK ile birlikte gelen ve MISP’deki olaylar ve niteliklerle kolayca ilişkilendirilebilen istihbarat sözcük dağarcığıdır.
- MISP’i kendi servislerinizle genişletmek veya halihazırda mevcut olan misp modüllerini etkinleştirmek için Python’daki genişletme modülleri.
- Ortak göstergeler ve niteliklere ilişkin kuruluşlardan gözlem almak için görüntüleme desteği.
- Bildirimlerin GnuPG ve/veya S/MIME aracılığıyla entegre şifrelenmesi ve imzalanması.
- STIX desteği: STIX sürüm 1 ve sürüm 2 formatında veri içe ve dışa aktarma.
- MISP içinde gerçek zamanlı yayınla-abone ol kanalı ile ZMQ veya Kafka yayıncılığındaki tüm değişiklikleri otomatik olarak alın.
- Dışa Aktarma: Diğer sistemlerle (ağ IDS, ana bilgisayar IDS, özel araçlar) bütünleştirmek için IDS, OpenIOC, düz metin, CSV, MISP XML veya JSON çıktısı oluşturma, Önbellek biçimi (adli araçlar için kullanılır), STIX (XML ve JSON) 1 ve 2, NIDS dışa aktarma (Suricata, Snort ve Bro/Zeek) veya RPZ bölgesi. Misp modülleri aracılığıyla birçok başka biçim kolayca eklenebilir.
- İçe aktarma: toplu içe aktarma, toplu içe aktarma, OpenIOC’den içe aktarma, GFI sandbox, ThreatConnect CSV, MISP standart formatı veya STIX 1.1/2.0. Diğer birçok format misp modülleri aracılığıyla kolayca eklenebilir.
İndirmek
MISP, GitHub’da ücretsiz olarak mevcuttur. Şu anda PHP’nin kullanım ömrünün sonuna gelmiş bir sürümü olan PHP 7.4’ü gerektirir. Bu nedenle, MISP’yi yalnızca Red Hat veya Debian ve türevleri gibi güvenlik düzeltmelerinin geri taşınacağını bildiğiniz dağıtımlarda veya PHP kurulumlarında çalıştırmanız önerilir.
Mutlaka okuyun: