MISP – Plataforma de compartilhamento de informações sobre malware

O MISP, Plataforma de Compartilhamento de Informações sobre Malware e Compartilhamento de Ameaças, é uma solução de software de código aberto para coletar, armazenar, distribuir e compartilhar indicadores de segurança cibernética e ameaças sobre a análise de incidentes de segurança cibernética e análise de malware. O MISP foi projetado por analistas de incidentes, profissionais de segurança e TIC ou inversor de malware para apoiar suas operações diárias e compartilhar informações estruturadas de maneira eficiente.

MISP - Plataforma de compartilhamento de informações sobre malware

O objetivo do MISP é promover o compartilhamento de informações estruturadas na comunidade de segurança e no exterior. O MISP fornece funcionalidades para apoiar a troca de informações, mas também o consumo das informações pelo Sistema de Intrusão de Detecção de Rede (NIDS), LIDS, mas também ferramentas de análise de logs, SIEMs.

Funcionalidades principais

  • Um banco de dados eficiente de COI e indicadores que permite armazenar informações técnicas e não técnicas sobre amostras de malware, incidentes, invasores e inteligência.
  • Correlação automática para encontrar relações entre atributos e indicadores de malware, campanhas de ataques ou análises.
  • Built-in compartilhamento de funcionalidade aos dados facilidade de compartilhamento usando modelo diferente de distribuições. O MISP pode sincronizar automaticamente eventos e atributos entre diferentes MISP. Funcionalidades avançadas de filtragem podem ser usadas para atender a cada política de compartilhamento da organização, incluindo uma capacidade flexível de grupo de compartilhamento e mecanismos de distribuição no nível de atributo.
  • Uma interface de usuário intuitiva para os usuários finais criarem, atualizarem e colaborarem em eventos e atributos / indicadores. Uma interface gráfica para navegar perfeitamente entre eventos e suas correlações. Funcionalidades avançadas de filtragem e lista de avisos para ajudar os analistas a contribuir com eventos e atributos.
  • armazenamento de dados em um formato estruturado (permitindo o uso automatizado do banco de dados para diversas finalidades) com um amplo suporte de indicadores de segurança cibernética junto a indicadores de fraude, como no setor financeiro.
  • exportação : gerando IDS, OpenIOC, texto sem formatação, CSV, MISP XML ou saída JSON para integrar com outros sistemas (IDS de rede, IDS de host, ferramentas personalizadas)
  • importação : importação em massa, importação em lote, importação do OpenIOC, sandbox GFI, ThreatConnect CSV.
  • Ferramenta flexível de importação de texto livre para facilitar a integração de relatórios não estruturados no MISP.
  • Um sistema suave para colaborar em eventos e atributos, permitindo que os usuários do MISP proponham alterações ou atualizações de atributos / indicadores.
  • compartilhamento de dados : troque e sincronize automaticamente com outras partes e grupos de confiança usando o MISP.
  • delegação de compartilhamento : permite que um mecanismo pseudo-anônimo simples delegue a publicação de eventos / indicadores a outra organização.
  • API flexível para integrar o MISP com suas próprias soluções. O MISP é fornecido com o PyMISP, que é uma biblioteca Python flexível para buscar, adicionar ou atualizar atributos de eventos, manipular amostras de malware ou procurar atributos.
  • Taxonomia ajustável para classificar e marcar eventos seguindo seus próprios esquemas de classificação ou classificação existente. A taxonomia pode ser local no seu MISP, mas também compartilhável entre instâncias do MISP.
  • Módulos de expansão no Python para expandir o MISP com seus próprios serviços ou ativar os módulos misp já disponíveis.
  • Suporte à observação para obter observações das organizações sobre indicadores e atributos compartilhados. A observação pode ser contribuída via interface de usuário MISP, API como documento MISP ou documentos de observação STIX.
  • Suporte a STIX : exporte dados no formato STIX (XML e JSON).
  • Criptografia e assinatura integradas das notificações via PGP e / ou S / MIME, dependendo das preferências do usuário.

A troca de informações resulta em uma detecção mais rápida de ataques direcionados e melhora a taxa de detecção enquanto reduz os falsos positivos. Também evitamos reverter malware semelhante, pois sabemos muito rapidamente que outras equipes ou organizações que já analisaram um malware específico.

Você pode baixar o MISP aqui:

MISP-v2.4.41.zip

Seja o primeiro a comentar

Deixe uma resposta

O seu endereço de email não será publicado.


*