Ir al contenido principal

MISP - Malware Information Sharing Platform


Les presentamos una gran plataforma. Es MISP - Malware Information Sharing Platform. 





¿Qué es MISP?

MISP , Malware Information Sharing Platform y Threat Sharing, es una solución de software para recopilar, almacenar, distribuir y compartir indicadores de amenazas ciberseguridad. Permite el análisis de incidentes de seguridad, como así tambien el de malware.
El MISP está diseñado por y para analistas de incidentes, profesionales de seguridad y TIC.
El objetivo del MISP es fomentar el intercambio de información estructurada dentro de la comunidad de seguridad y en el extranjero. MISP proporciona funcionalidades para respaldar el intercambio de información, pero también el consumo de la información por parte del Sistema de Detección de Intrusión en la Red (NIDS), Sistemas de Análisis de Logs (LIDS – Log-Based Intrusion Detection), SIEM.

¿Cómo funciona?

Las funcionalidades principales de MISP, Malware Information Sharing y Threat Sharing son:

- Una eficiente base de datos de Indicadores de Compromiso (IOC) e indicaciones técnica y no técnica sobre muestras de malware, incidentes, atacantes e inteligencia. 

Correlación automática de búsqueda de relaciones entre atributos e indicadores de malware, campañas de ataques o análisis. 

- Un modelo de datos flexible donde los objetos complejos se pueden expresar y vincular entre sí para expresar inteligencia de amenazas, incidentes o elementos conectados. 

Funcionalidad para compartir incorporada para facilitar el intercambio de datos utilizando diferentes modelos de distribuciones.

- Una interfaz de usuario intuitiva para que los usuarios finales creen, actualicen y colaboren en eventos y atributos/indicadores. Una interfaz gráfica para navegar sin problemas entre eventos y sus correlaciones. Funciones de filtrado avanzadas y lista de advertencias para ayudar a los analistas a contribuir con eventos y atributos. 

Almacenamiento de datos en un formato estructurado (que permite el uso automatizado de la base de datos para diversos propósitos) con un amplio soporte de indicadores de seguridad cibernética a lo largo de indicadores de fraude como en el sector financiero. 

Exportar: generar IDS, OpenIOC, texto sin formato, CSV, MISP XML o JSON para integrar con otros sistemas (IDS de red, IDS de host, herramientas personalizadas), STIX (XML y JSON), exportación NIDS (Suricata, Snort y Bro) o zonas RPZ. Muchos otros formatos se añaden fácilmente a través de los módulos MISP. 

Importación: importación masiva, importación por lotes, importación desde OpenIOC, GFI sandbox, ThreatConnect CSV, entre otros.

Herramienta flexible de importación de texto libre para facilitar la integración de informes no estructurados en MISP.

- Un sistema para colaborar en eventos y atributos que permite a los usuarios de MISP proponer cambios o actualizaciones a los atributos / indicadores. 

Intercambio de datos: intercambio y sincronización automáticos con otras partes y grupos de confianza utilizando MISP. 

Delegar compartir: permite un simple mecanismo pseudo anónimo para delegar la publicación de eventos / indicadores a otra organización. 

- API flexible para integrar MISP con tus propias soluciones. MISP se incluye con PyMISP, que es una biblioteca flexible de Python para obtener, agregar o actualizar atributos de eventos, manejar muestras de malware o buscar atributos. 

Taxonomía ajustable: para clasificar y etiquetar eventos siguiendo sus propios esquemas de clasificación o el sistema existente. La taxonomía puede ser local a su MISP, pero también se puede compartir entre las instancias de MISP. 

Vocabularios de inteligencia llamados MISP Galaxy y combinados con actores de amenazas existentes, malware, RAT, ransomware o MITERATT&CK que se pueden vincular fácilmente con eventos en MISP. 

Módulos de expansión en Python para expandir MISP con sus propios servicios o activar misp-modules ya disponibles. 

Apoyo de observación: para obtener observaciones de organizaciones sobre indicadores y atributos compartidos. El avistamiento se puede aportar a través de la interfaz de usuario MISP, la API como documento MISP o los documentos de avistamiento STIX. 

Soporte STIX: exportar datos en el formato STIX (XML y JSON). La importación y exportación adicional de STIX es compatible con MISP-STIX-Converter o MISP-Taxii-Server. 

Cifrado y firma integrados de las notificaciones a través de PGP y/o S/MIME según las preferencias del usuario.

Interface de MISP

Login

Menu

Evento

Exportar un evento: Se puede exportar en formtado Json, XML, Snort,....

MISP es una plataforma con muchas características que puede aportar un panorama amplio y detallado sobre los Eventos de Seguridad que afronta su organización.

En MurcIT contamos en nuestro equipos de técnicos y consultores, pudiendo ofrecer los servicios de asesoría necesarios, no dude en consultarnos.

Comentarios

Entradas más populares de este blog

Actualización de PaloAlto. PAN-OS 8.1.4

El día de ayer PaloAlto liberó su versión de PAN-OS 8.1.4, esta versión incluye varios parches que resuelven problemas conocidos pero no agrega nuevas funcionalidades. Como siempre se recomienda testear los parches en un entorno adecuado para luego instalarlos en producción. En MurcIT contamos en nuestro labcenter equipos de testing y ofrecemos los servicios de upgrade, no dude en consultarnos.

Reporte de Gartner de 2018: Cuadrante Mágico para la Infraestructura de Acceso LAN Alámbrica e Inalámbrica

El enorme volumen y variedad de usuarios e IoT conectados significa que es tiempo de reexaminar como construye, asegura y administra la infraestructura de su red. Para asegurar que sus usuarios obtengan experiencias agradables mientras se mantienen los datos seguros, se necesita de una red de siguiente generación que elimine la complejidad de las operaciones de TI - ¿pero a quién puede recurrir?

Gartner, ha liberado su cuadrante mágico al respecto. Donde se destaca la presencia de Aruba (HPE) como lider por 13 años consecutivos.