Avisos
Vaciar todo

MISP - Open Source Threat Intelligence Platform  

  RSS

Iván Portillo
(@ivan)
Eminent Member Admin
Registrado: hace 2 años
Respuestas: 30
13/07/2019 5:12 pm  

 

Plataforma de Threat Intelligence (TIP): MISP

 

Descripción: MISP es una plataforma destinada para la recopilación, compartición y correlación de IoC (Indicadores de Compromiso) sobre ataques dirigidos, amenazas inteligentes, información de fraude financiero, vulnerabilidades o antiterrorismo. Esta herramienta puede ayudar a analizar un indicador concreto y descubrir cómo se relaciona con otros indicadores, lo que puede permitir tener una visión global de un ataque al relacionar IoC entre sí. Además, permite también analizar sucesos y amenazas como por ejemplo que actores pueden estar relacionados con un ataque concreto o que TTPs puede estar usando un grupo criminal.

 

Características básicas:

  • Dispone de una base de datos de indicadores que permite almacenar información técnica y no técnica sobre muestras de malware, incidentes, atacantes e inteligencia.
  • Correlación automática entre atributos e indicadores de malware, campañas de ataques o análisis.
  • Dispone de un modelo de datos flexible en el que se pueden enlazar objetos complejos para expresar información sobre amenazas, incidentes o elementos conectados.
  • Dispone de una funcionalidad que permite la compartición de datos utilizando diferentes modelos de distribución. MISP puede sincronizar automáticamente eventos y atributos entre diferentes instancias.
  • Una interfaz de usuario intuitiva para que los usuarios finales creen, actualicen y colaboren en eventos y atributos/indicadores. Dispone de una interfaz gráfica para navegar sin problemas entre los eventos y sus correlaciones.
  • Almacenamiento de datos en un formato estructurado con un amplio soporte de indicadores de seguridad.
  • Permite múltiples formatos de exportación de resultados y/o detecciones de IoC como OpenIOC, texto plano, CSV, XML, JSON, integración con IDS (Snort, Suricata, Bro) u otros sistemas.
  • MISP permite importaciones mediante bulk-import, batch- import, texto plano, OpenIOC, GFI Sandbox, CSV de ThreatConnect o formato MISP.
  • Intercambio y sincronización automáticos con otros grupos de confianza mediante MISP.
  • Herramienta flexible para integrar fuentes de cualquier amenaza o mediante OSINT.
  • Permite un mecanismo seudo-anónimo para delegar la publicación de eventos/indicadores a otra organización.
  • API flexible para integrar MISP con otras soluciones. A través de la librería de Python, PyMISP, puedes recuperar, añadir o actualizar atributos de eventos, manejar muestras de malware o buscar atributos.
  • Taxonomía adaptable para clasificar y etiquetar eventos siguiendo esquemas de clasificación propios o taxonomías existentes. La taxonomía puede ser local para su MISP, pero también puede ser compartida entre otras instancias. La herramienta dispone de un conjunto predeterminado de taxonomías y esquemas de clasificación bien conocidos para apoyar la clasificación estándar utilizada por ENISA, Europol, DHS, CSIRTs u otras organizaciones.
  • Utiliza un diccionario con palabras relacionadas con la inteligencia llamada galaxias. Con esto se consigue agrupar y relacionar sucesos o eventos con actores de amenazas existentes, malware, RAT, ransomware o MITRE ATT&CK.
  • Permite integrar módulos desarrollados en Python a través de misp-modules.
  • Dispone de soporte STIX mediante la importación y exportación de datos en formato STIX (XML y JSON).
  • Cifrado integrado y firma de las notificaciones vía PGP o S/MIME dependiendo de las preferencias del usuario.
  • Canal de publicación en tiempo real para obtener automáticamente todos los cambios sobre nuevos eventos, indicadores o etiquetados mediante ZMQ o Kafka.

 

Demo:

 

 

Imágenes de la plataforma:

MISP graph
MISP taxonO

MISP tag
MISP  event view

 

Instalación MISP

  1. Instalación mediante OVA (Máquina Virtual)
  2. Instalación mediante Ansible
  3. Instalación mediante automatización por bash con misp-modules incluido
  4. Instalación mediante docker. Existen dos proyectos reconocidos por MISP que permiten instalar la plataforma mediante docker.
  5. Instalación para nube. Proyecto destinado a utilizar MISP en la nube con fines de investigación y pruebas. Actualmente solo es soportado por Amazon Web Services (AWS).

 

Recursos de consulta:

  1. Webs Oficiales
  2. Módulos MISP. Listado de módulos de diversas fuentes que pueden ser instalados y utilizadas en MISP mediante uso de API.
  3. Taxonomías MISP. Bibliotecas de clasificación actualizadas sobre inteligencia para etiquetar, clasificar y organizar la información dentro de MISP.
  4. Galaxias MISP. Listado de objetos de vocabularios para ser utilizados en MISP
  5. Warninglist MISP. Listas de indicadores bien conocidos que pueden asociarse a posibles falsos positivos, errores o equivocaciones.
  6. PyMISP. Librería Python que permite interactuar con MISP mediante API REST.
  7. Training sobre MISP.
  8. Documentación oficial sobre MISP
Este debate ha sido modificado el hace 1 año 20 veces por Iván Portillo

ResponderCitar
Compartir: