MISP从入门到实战:威胁情报共享平台搭建与使用详解

于 2025-02-16 22:23:06 发布
阅读量2.3k 收藏 26
点赞数 44
文章标签: windows 网络安全 安全威胁分析 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzllln/article/details/145671114
版权

MISP从入门到实战:威胁情报共享平台搭建与使用详解

目录

  1. MISP核心作用与价值
  2. MISP安装与部署
    • 2.1 Docker快速部署
    • 2.2 手动安装(Ubuntu)
  3. MISP基础使用教程
    • 3.1 创建事件与属性
    • 3.2 数据共享与同步
    • 3.3 威胁情报分析实战
  4. MISP高级功能
    • 4.1 Galaxy与MITRE ATT&CK集成
    • 4.2 API自动化联动防御
  5. MISP集成案例
    • 5.1 与SIEM系统联动(Elasticsearch)
    • 5.2 自动化阻断恶意IP(Firewall)
  6. 常见问题与解决方案

MISP 核心架构图
威胁情报源
MISP核心模块
事件管理
属性分析
数据共享
创建/关联事件
自动关联IOCs
同步至其他平台
防火墙/SIEM/EDR

1. MISP核心作用与价值

1.1 什么是MISP?

MISP(Malware Information Sharing Platform)是一个开源的威胁情报共享平台,专为网络安全团队设计,用于收集、存储、分析和共享网络威胁数据

1.2 典型应用场景

  • 威胁情报共享:跨组织协作防御(如共享勒索软件IOCs)。
  • 事件响应:快速定位攻击源头并阻断。
  • 威胁狩猎:基于ATT&CK框架主动检测潜在攻击。

2. MISP安装与部署

2.1 Docker快速部署(推荐)
安装Docker
克隆MISP仓库
启动容器
访问localhost
登录MISP
步骤1:安装Docker与docker-compose
# Ubuntu示例
sudo apt-get update
sudo apt-get install docker.io docker-compose -y
步骤2:拉取MISP镜像并启动
git clone https://github.com/MISP/docker.git
cd docker
docker-compose up -d
步骤3:访问MISP界面

浏览器打开 http://localhost,使用默认账号admin@admin.test和密码admin登录。

2.2 手动安装(Ubuntu系统)

依赖安装
sudo apt-get install mysql-server redis-server php-cli -y
源码部署
git clone https://github.com/MISP/MISP.git
cd MISP
sudo ./INSTALL/INSTALL.sh

3. MISP基础使用教程 {#3}

3.1 创建事件与属性

用户 MISP前端 MISP数据库 点击“Add Event” 显示事件表单 填写标题/描述/分类 保存事件 返回成功 显示事件详情页 用户 MISP前端 MISP数据库
步骤1:新建事件
  1. 点击 Events > Add Event
  2. 填写事件标题、描述,选择威胁等级和分类(如“恶意软件”)。
步骤2:添加属性(IOCs)
  • 在事件页面点击 Add Attribute,输入恶意IP、文件哈希等。
示例:添加恶意IP
Category: Network activity
Type: ip-dst
Value: 192.168.1.100
Comment: C2服务器地址

3.2 数据共享与同步

配置共享组(Sharing Group)
  1. 进入 Administration > Sharing Groups
  2. 创建共享组并设置可见范围(如“仅内部组织”)。
导出威胁情报

支持格式:STIX、JSON、CSV。

3.3 威胁情报分析实战

案例:分析钓鱼攻击事件
  1. 创建事件,关联恶意域名、发件人邮箱和附件哈希。
  2. 使用 Correlation 功能发现关联的其他事件。

4. MISP高级功能

4.1 Galaxy与MITRE ATT&CK集成

  • Galaxy框架:预定义攻击模式(如勒索软件TTPs)。
  • ATT&CK标签:标记攻击技术(如T1059: Command-Line Interface)。

MISP 与 SIEM 集成:

API导出IOCs
MISP
Elasticsearch
Kibana仪表盘
实时告警

4.2 API自动化联动防御

Python调用API示例
import requests

url = "http://<MISP_URL>/events"
api_key = "YOUR_API_KEY"
headers = {"Authorization": api_key, "Accept": "application/json"}

# 获取最新事件
response = requests.get(url, headers=headers)
print(response.json())

5. MISP集成案例

5.1 与Elasticsearch联动

将MISP的IOCs导入Elasticsearch
curl -XPOST "http://elasticsearch:9200/misp_iocs/_bulk" -H "Content-Type: application/json" --data-binary @misp_export.json

5.2 自动化阻断恶意IP(基于iptables)

# 从MISP API获取恶意IP列表
curl -s -H "Authorization: <API_KEY>" http://<MISP_URL>/attributes/export/json | jq '.response[].value' > bad_ips.txt

# 更新iptables规则
while read ip; do
  iptables -A INPUT -s $ip -j DROP
done < bad_ips.txt

API 自动化调用流程:

HTTP请求
通过
拒绝
外部系统
MISP API
认证校验
查询/导出数据
返回403错误
返回JSON/STIX

6. 常见问题与解决方案

Q1:MISP同步失败如何处理?

  • 检查日志/var/log/misp/misp.log
  • 验证API密钥权限:确保目标实例允许同步。

Q2:如何备份MISP数据?

# 备份数据库
mysqldump -u misp -p misp > misp_backup.sql

# 备份文件存储
tar -czvf misp_files.tar.gz /var/www/MISP/app/files

相关资源

MISP是构建企业级威胁情报能力的核心工具。通过本文的实战指南,您可以快速掌握从部署到高阶分析的全流程。建议结合官方文档和社区资源持续探索!希望本文能对你有所帮助!

和舒貌
关注
在家构建您自己的网络威胁情报系统,了解如何免费收集威胁情报
iCloudEnd的博客
08-15 255
OpenCTI 是一个开源平台,允许组织管理其网络威胁情报知识和可观察数据。它旨在构建、存储、组织和可视化有关网络威胁的技术和非技术信息。数据的结构化是使用基于STIX2 标准的知识模式执行的。它被设计为一个现代 Web 应用程序,包括GraphQL API和面向 UX 的前端。此外,OpenCTI 可以其他工具和应用程序集成,例如MISP、TheHive、MITRE ATT&CK等。— OpenCTIOpenCTI 的设置和运行是免费的,它使用来自开源和专有威胁源的威胁情报
MISP - 恶意软件信息共享平台和威胁共享
我的学习笔记
02-28 6293
参考:https://github.com/MISP/MISPMISP,恶意软件信息共享平台和威胁共享是一个开源软件解决方案,用于收集,存储,分发和共享网络安全指标,并对网络安全事件分析和恶意软件分析构成威胁。MISP由事件分析师,安全和ICT专业人员或恶意软件逆向设计,以支持他们的日常操作,以有效地分享结构化信息。MISP的目标是促进在安全界和国外分享...
misp-book:MISP用户指南
02-04
描述 MISP简介-开源威胁情报平台(以前称为恶意软件信息共享平台) 介绍 MISP(恶意软件信息共享平台)的用户指南-开源威胁情报共享平台。 本用户指南面向安全专家,安全事件处理程序或恶意软件反向工程师等ICT专业人员,他们使用MISP共享威胁指标或将MISP集成到其他安全监视工具中。 用户指南包括MISP图形用户界面及其自动界面(API)的日常使用,以便将MISP集成到安全环境中。 致谢 该MISP用户指南的贡献者之间的所有合作努力包括: 比利时国防部(CERT) Iklody IT解决方案 克苏鲁解决方案 以及其他许多贡献者,尤其是期间的贡献者。 贡献 我们欢迎为MISP本书做出贡
MISP:开源威胁情报共享平台
最新发布
网络研究观
08-06 1371
MISP 是一种开源软件解决方案,用于收集、存储、分发和共享有关网络安全事件分析和恶意软件分析网络安全指标和威胁。
安装部署MISP平台
dl425134845的专栏
05-23 1690
安装部署MISP平台
探秘MISP:一款强大的开源威胁情报共享平台
gitblog_00057的博客
03-21 945
探秘MISP:一款强大的开源威胁情报共享平台 去发现同类优质开源项目:https://gitcode.com/ 是一个开源项目,旨在促进安全社区之间的信息共享,特别是恶意软件和威胁相关的情报。在这个数字化日益加速的时代,安全防护显得尤为重要,MISP 提供了一个集数据收集、分析和分发于一体的解决方案。 技术剖析 MISP 主要由 Python 开发,基于 Django 框架,它提供了丰富的 RE...
如何构建一个一流的威胁情报系统
热门推荐
leeezp的博客
08-24 33万+
本人因为工作的缘故会接触大量的现网攻击事件告警,也经常使用情报平台对告警的源ip进行辅助研判,这里记录一些本人对于情报的理解以及如何做好自己的情报系统。本文会介绍情报的本质、情报的特征、情报搜集情报校验,以及最后会讲述如何把情报做到一流水平,比如说比肩某步。 超越主流情报平台并没有那么难,有些事只要投入人力,有正确的人指导一定可以做成。
威胁情报平台OPENCTI搭建记录(三)
qq_41917456的博客
09-30 882
总算到了安装opencti的时候了,按照官方教程开始安装 docker-compose --compatibility up 但是实在是太慢了,所以准备去阿里云申请一个镜像加速(这种教程网上有很多,可自行百度),但是在在重载文件时又出错了 放弃了。WSL坑太多了,毕竟还是一个虚拟化的系统, ...
威胁情报平台
weixin_33871366的博客
03-23 480
https://alice.sec-un.com/ https://ti.360.com/ https://nosec.org/ https://en.wikipedia.org/wiki/Open-source_intelligence http://www.aqniu.com/industry/8930.html#3.1.7
如何建立实时的威胁情报共享平台
图幻未来的博客
02-02 283
综上所述, 构建一套实时且可靠的威胁情报共。
ansible-misp:在Ubuntu上部署MISP和Apache的角色
05-09
ansible-misp 在Ubuntu上部署MISP和Apache的角色。 该角色旨在指向一个已经存在MySQL服务器。 它可以是本地的,也可以是外部的。 以RDS为例。 可以在main.yml中更改MISP,MySQL和Postfix变量。 所有其他MISP配置选项位于role / misp / templates / misp中。 这个角色: 安装和配置Postfix 安装和配置Apache 创建一个MISP用户和MISP数据库,初始化数据库 克隆所有必需的MISP存储库并部署MISP 如果需要,安装MISP模块 产生于: MISP AWS社区AMI 部署步骤 样本主机文件: [misp] 172.18.0.10 运行剧本: cd ansible-misp ansible-playbook main.yml
misp-rfc:MISP 项目中使用的规范,包括 MISP 核心格式
05-30
MISP 标准和 RFC 该存储库是 MISP 项目中使用的规范和格式的官方来源。 这些格式被描述为支持其他实现,这些实现重用该格式并确保现有 MISP 软件、其他威胁情报平台和整个安全工具的互操作性。 所有格式都可以由所有人自由重用。 在多个软件中使用和实现的 MISP 格式 ( ) 描述了 MISP 的核心 JSON 格式。 当前互联网草案: ( ) 描述了 MISP 的分类 JSON 格式。 当前的互联网草案: 描述了用于扩展 MISP 威胁建模的模板格式。 当前互联网草案: ,描述了模板格式,用于将组合对象和组合对象添加到MISP核心格式。 当前互联网草案: MISP格式处于设计阶段,并且至少在一个软件原型中实现 misp-modules-protocol 描述了 MISPmisp-modules 之间使用misp-modules协议。 设计阶段
MISP下工具
11-29
MIPS环境下工具 可进行: 进程查看器 CPU查看器 内存占用率查看器 注册表查看器
misp-taxonomies:MISP分类法系统中使用的分类法,并且可以由其他信息共享工具使用
04-30
MISP分类法 MISP分类法是一组用于标记,分类和组织信息的通用分类库。 分类法允许在一组分散的用户和组织中表达相同的词汇。 可以在 (2.4)和其他信息共享工具中使用并以机器标签(三重标签)表示的分类法。 机器标签由名称空间(MUST),谓词(MUST)和(OPTIONAL)值组成。 机器标签由于其格式而通常被称为三重标签。 以下分类法可以在MISP(作为本地或分布式标签)中使用,也可以在其他愿意在安全信息共享工具之间共享常见分类法的工具和软件中使用。 CERT-XLM :CERT-XLM安全事件分类。 DFRLab信息二分法 二分法:DFRLab二分法。 DML :检测成熟度级别(DML)模型是一种能力成熟度模型,用于在检测网络攻击时参考那些成熟度。 它是为执行英特尔驱动的检测和响应并强调拥有成熟检测程序的组织而设计的。 肺动脉压 :“允许的操作协议”(简称:PAP)
MISPMISP(核心软件)-开源威胁情报共享平台(以前称为恶意软件信息共享平台
02-05
MISP-威胁情报共享平台 最新发布的 CI行动 吉特 推特 贡献者 执照 MISP是一种开源软件解决方案,用于收集,存储,分发和共享网络安全指标以及有关网络安全事件分析和恶意软件分析的威胁。 MISP由事件分析人员,安全和ICT专业人员或恶意软件逆转者设计并为事件分析人员设计,以支持其日常运营以有效共享结构化信息。 MISP的目的是促进安全社区内部和国外共享结构化信息。 MISP提供的功能不仅支持信息交换,而且还支持网络入侵检测系统(NIDS),LIDS和日志分析工具SIEM对所述信息的消费。 MISP,恶意软件信息共享平台和威胁共享,核心功能是: 高效的IOC和指标数据
misp-training:MISP培训,威胁情报和信息共享培训材料以及源代码-Source material
03-24
我们欢迎作出贡献,以便改进针对威胁情报,情报收集和分析以及信息共享/交换信息和国家安全的特定方面的培训。 材料 幻灯片(PDF) 源代码 补充材料 幻灯片(PDF) 源代码 附加文件 MISP培训视频 可以...
MISP RFC规范:核心格式及威胁情报平台互操作性
通过公开的规范和格式,MISP确保威胁信息可以被广泛共享,同时也支持其他威胁情报平台的集成。 7. RFC(请求评论): MISP的相关格式和协议通常以互联网草案的形式存在。RFC是一系列技术文档,详细描述了互联网...
在Ubuntu20.04安装MISP
qq_38242534的博客
11-27 1745
Install MISP with ins sudo apt-get update -y && sudo apt-get upgrade -y sudo apt-get install mysql-client -y wget https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh chmod +x INSTALL.sh ./INSTALL.sh -Atall.sh
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值