-

MISP - مشاركة معلومات البرامج الضارة ومشاركة التهديدات



الهدف من مجموعة خدمات MISP هو تعزيز مشاركة المعلومات المنظمة داخل مجتمع الأمن وفي الخارج. توفر مجموعة خدمات MISP وظائف لدعم تبادل المعلومات ، ولكن أيضا باستهلاك المعلومات من خلال نظام كشف التطفل الشبكي (NIDS) ، LIDS ولكن أيضا أدوات تحليل السجلات ، SIEMs.MISP ، هو حل برمجيات المصدر المفتوح لجمع وتخزين وتوزيع وتوزيع مؤشرات الأمن السيبراني والتهديد بشأن تحليل حوادث الأمن السيبراني وتحليل البرمجيات الخبيثة. تم تصميم مجموعة خدمات MISP من قِبل محللي الحوادث والمتخصصين في مجال الأمن وتكنولوجيا المعلومات والاتصالات أو برامج النسخ العكسي لدعم عملياتهم اليومية لمشاركة المعلومات المنظمة بكفاءة.

MISP ، منصة مشاركة المعلومات الخبيثة والتشارك في التهديدات ، الوظائف الأساسية هي:
  • و كفاءة اللجنة الاولمبية الدولية ومؤشرات قاعدة بيانات تسمح لتخزين المعلومات التقنية وغير التقنية حول عينات البرمجيات الخبيثة، والحوادث، المهاجمين والاستخبارات.
  • علاقات إيجاد العلاقات التلقائية بين السمات والمؤشرات من البرامج الضارة أو هجمات الحملات أو التحليل. يهاجم الحملات أو التحليل. يتضمن محرك الارتباط الارتباط بين السمات والارتباطات الأكثر تقدمًا مثل ارتباط التجزئة المشابه (مثل ssdeep) أو مطابقة CIDR. يمكن أيضًا تمكين الارتباط أو تعطيل الحدث لكل سمة.
  • نموذج بيانات مرنة حيث معقدة أشياء يمكن التعبير عن و ربطها معا للتعبير عن الاستخبارات التهديد، حوادث أو عناصر مرتبطة .
  • وظيفة مشاركة مدمجة لتسهيل مشاركة البيانات باستخدام نموذج مختلف من التوزيعات. يمكن لمجموعة خدمات MISP مزامنة الأحداث والسمات تلقائيًا بين مجموعة خدمات MISP المختلفة. يمكن استخدام وظائف التصفية المتقدمة لتلبية سياسة مشاركة كل منظمة بما في ذلك سعة مجموعة المشاركة المرنة وآليات توزيع مستوى السمة.
  • على واجهة المستخدم سهلة الاستخدام للمستخدمين النهائيين لإنشاء وتحديث والتعاون في الأحداث والصفات / المؤشرات. و اجهة رسومية للتنقل بسهولة بين الأحداث والارتباطات الخاصة بهم. على الرسم البياني الحدث وظائف لإنشاء وعرض العلاقات بين الأشياء والصفات. وظائف التصفية المتقدمة وقائمة التحذيرلمساعدة المحللين على المساهمة في الأحداث والسمات والحد من مخاطر إيجابية كاذبة.
  • تخزين البيانات في نسق منظم (يسمح بالاستخدام الآلي لقاعدة البيانات لأغراض متعددة) مع دعم واسع النطاق لمؤشرات الأمن السيبراني على طول مؤشرات الاحتيال كما هو الحال في القطاع المالي.
  • تصدير : إنشاء IDS أو OpenIOC أو نص عادي أو CSV أو MISP XML أو JSON للإخراج مع الأنظمة الأخرى (IDS الشبكة ، IDS المضيف ، الأدوات المخصصة) ، تنسيق ذاكرة التخزين المؤقت (المستخدم في أدوات الطب الشرعي) ، STIX (XML و JSON) 1 و 2 ، تصدير NIDS (سوريكاتا ، سنورت وإخوانه) أو منطقة RPZ. العديد من الأشكال الأخرى بسهولة المضافة عن طريق وحدات misp .
  • الاستيراد : الاستيراد بالجملة ، استيراد الدُفعات ، الاستيراد من OpenIOC ، صندوق حماية GFI ، ThreatConnect CSV ، تنسيق MISP القياسي أو STIX 1.1 / 2.0. العديد من الأشكال الأخرى بسهولة المضافة عن طريق وحدات misp .
  • أداة استيراد نص مرنة مرنة لتسهيل دمج التقارير غير المنظمة في مجموعة خدمات MISP.
  • نظام لطيف للتعاون حول الأحداث والسمات التي تسمح لمستخدمي MISP باقتراح تغييرات أو تحديثات للخصائص / المؤشرات.
  • مشاركة البيانات : التبادل والتزامن تلقائيًا مع الأطراف الأخرى ومجموعات الثقة باستخدام MISP.
  • تفويض المشاركة : يسمح بآلية مزيفة بسيطة لتفويض نشر الأحداث / المؤشرات إلى منظمة أخرى.
  • واجهة برمجة تطبيقات مرنة لدمج مجموعة خدمات MISP مع الحلول الخاصة بك. يتم تجميع MISP مع PyMISP وهي مكتبة Python مرنة لجلب أو إضافة أو تحديث سمات الأحداث أو معالجة عينات البرامج الضارة أو البحث عن السمات. واجهة برمجة تطبيقات بحث شاملة للبحث عن المؤشرات بسهولة في MISP وتصديرها بجميع التنسيقات التي تدعمها MISP.
  • تصنيف قابل للتعديل لتصنيف الأحداث وتمييزها باتباع أنظمة التصنيف الخاصة بك أو التصنيف الحالي . ﯾﻣﮐن أن ﯾﮐون اﻟﺗﺻﻧﯾف ﻣﺣﻟﻲ ﻟﺑﻧد MISP اﻟﺧﺎص ﺑك وﻟﮐن ﯾﻣﮐن أﯾﺿًﺎ اﻟﻣﺷﺎرﮐﺔ ﺑﯾن ﺣﺎﻻت MISP.
  • المفردات الاستخبارية التي تسمى MISP galaxy ومجمعة بممثلي التهديد الحاليين أو البرامج الضارة أو RAT أو Ransomware أو MITER ATT & CKوالتي يمكن ربطها بسهولة مع الأحداث والسمات في MISP.
  • وحدات التوسعة في بيثون لتوسيع مجموعة خدمات MISP مع خدماتك الخاصة أو تفعيل وحدات التسييل المتاحة بالفعل .
  • رؤية الدعم للحصول على الملاحظات من المنظمات بشأن المؤشرات والسمات المشتركة. يمكن أن تساهم الرؤية عبر واجهة مستخدم MISP ، أو API كوثيقة MISP أو مستندات رؤية STIX.
  • STIX support : import and export data in the STIX version 1 and version 2 format.
  • التشفير المتكامل وتوقيع الإشعارات عبر GnuPG و / أو S / MIME وفقًا لتفضيلات المستخدم.
  • في الوقت الحقيقي نشر-الاشتراك قناة ضمن MISP للحصول على كل التغييرات (على سبيل المثال جديدة الأحداث والمؤشرات ومشاهد أو العلامات) في ZMQ (على سبيل المثال تلقائيا MISP-لوحة القيادة ) أو تسجيل ElasticSearch.
يؤدي تبادل المعلومات إلى الكشف السريع عن الهجمات المستهدفة وتحسين نسبة الكشف مع تقليل الإيجابيات الزائفة. كما نتجنب أيضًا عكس البرامج الضارة المماثلة لأننا نعرف بسرعة كبيرة أن فريقًا أو مؤسسات أخرى قد حللت بالفعل برامج ضارة محددة.


نموذج لحدث تم ترميزه في مجموعة خدمات MISP:


موقع ويب / دعم
Checkout موقع الويب لمزيد من المعلومات حول برنامج MISP والمعايير والأدوات والمجتمعات. 


الوثائق
دليل مستخدم MISP (MISP-book) متاح عبر الإنترنت أو على هيئة PDF أو على هيئة EPUB أو كـ MOBI / Kindle . 
للحصول على دليل التثبيت ، انظر INSTALL أو قسم التنزيل .


تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

-
صورة
Astra - Automated Security Testing For REST API's  is complex due to continuous changes in existing APIs and newly added APIs. Astra can be used by security engineers or developers as an integral part of their process, so they can detect and patch vulnerabilities early during development cycle. Astra can automatically detect and test login & logout (Authentication API), so it's easy for anyone to integrate this into CICD pipeline. Astra can take API collection as an input so this can also be used for testing apis in standalone mode. SQL injection Cross site scripting Information Leakage Broken Authentication and session management CSRF (including Blind CSRF) Rate limit CORS misonfiguration (including CORS bypass techniques) JWT attack Coming soon XXE CSP misconfiguration Requirement Linux or MacOS Python 2.7 mongoDB Installation $ git clone https://github.com/flipkart-incubator/Astra $ cd Astra $ sudo pip install -r require...
Plus d'infos »chaker hacker
-
صورة
Snallygaster - Tool To Scan For Secret Files On HTTP Servers Snallygaster is a tool that looks for files accessible on web servers that shouldn't be public and can pose a security risk. Typical examples include publicly accessible git repositories, backup files potentially containing passwords or database dumps. In addition it contains a few checks for other security vulnerabilities. As an introduction to these kinds of issues you may want to watch this talk: Install snallygaster is available  via pypi : pip3 install snallygaster It's a simple python 3 script, so you can just download the file "snallygaster" and execute it. Dependencies are urllib3, beautifulsoup4 and dnspython. Faq Q: I want to contribute / send a patch / a pull request! A: That's great, but please read the  CONTRIBUTIONS.md file. Q: What's that name? A:  Snallygaster  is the name of a dragon that according to some legends was seen in Maryland and other parts of the ...
Plus d'infos »chaker hacker
-
صورة
Intel Processors Now Allows Antivirus to Use Built-in GPUs for Malware Scanning         Global chip-maker Intel on Tuesday  announced  two new technologies—Threat Detection Technology (TDT) and Security Essentials—that not only offer hardware-based built-in security features across Intel processors but also improve threat detection without compromising system performance. Intel's Threat Detection Technology (TDT) offers a new set of features that leverage hardware-level telemetry to help security products detect new classes of threats and exploits. It includes two main capabilities—Accelerated Memory Scanning and Advanced Platform Telemetry. Accelerated Memory Scanning allows antivirus programs to use Intel's integrated GPU to scan and detect memory-based malware attacks while reducing the impact on performance and power consumption.  "Current scanning technologies can detect system memory-based cyber-attacks, but at...
Plus d'infos »chaker hacker