MISP(Malware Information Sharing Platform)是一个开源的、免费的威胁情报平台,用于收集、共享和分析关于恶意软件和网络威胁的信息。MISP旨在促进威胁情报和安全事件信息的共享,帮助组织和安全从业人员更好地理解和应对不断演变的网络威胁。
MISP官网:https://www.misp-project.org/
GIthub:https://github.com/MISP/MISP
官方文档:https://misp.github.io/MISP/
MISP安装部署过程较为麻烦,如果只是学习了解之用,那大可不必大费周章地从0开始安装,MISP官方提供了虚拟机,我们直接下载Virtualbox或VMware的虚拟机文件,导入虚拟机直接用即可。
下载页面:
https://www.misp-project.org/download/
虚拟机默认密码:
系统账号:misp
系统密码:Password1234
Web应用账号:[email protected]
Web应用密码:admin
此处以Virtualbox为例,下载ova文件到本地后,双击即可导入Virtualbox。配置当前虚拟机启用两块网卡,一块为NAT模式用于访问互联网拉取情报,一块Host-only网卡用于本地管理。
开启虚拟机后,使用默认账号密码登录终端,查看虚拟机自动获取的IP地址,然后访问https://yourvm-ip/,使用默认Web应用账号密码登录MISP。
登录MISP后我们需要启用情报订阅,进入Sync Actions->List Feeds
默认MISP自带两个情报源,我们全选这两个情报源,点击enable selected和enable caching for selected启用它们
稍等片刻后,我们点击Event Actions->List Events,可以查看同步到本地中的安全事件
点击每一个Event行后的Action中的View,可以查看Event详情,包括Event相关链接和IoCs。
我们也可以查看同步到本地的所有IoCs,MISP中的IoCs包含文件HASH(md5,sha1,sha256)、IP、域名、URL、邮箱地址等。点击Event Actions->List Attributes即可查看
原文始发于微信公众号(Desync InfoSec):MISP是什么?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论