欢迎回到本系列，了解如何使用 MISP 进行威胁情报！

MISP（恶意软件信息共享平台和威胁共享）是一个开源威胁情报平台，允许您共享、整理、分析和分发威胁情报。它被全球各行各业和政府用于共享和分析有关最新威胁的信息。本系列旨在为您提供尽快启动和运行MISP所需的知识。

• 相关视频教程

• 恶意软件开发（更新到了155节）

如果您已关注本系列，则现在您的 MISP 实例中将包含事件和属性 （IOC）。今天，您将学习如何搜索和过滤这些数据，以找到与您相关的内容。您将了解如何执行基本搜索、使用更高级的过滤选项以及对 MISP 通风口和属性执行这些操作。

让我们开始使用我们的发现数据吧！

搜索事件

MISP 事件是“表示为属性和对象的上下文相关信息的封装”。它们可以是威胁情报文章、恶意软件分析报告、威胁研究，也可以是你想象的任何其他表示威胁情报的方式。事件是将威胁情报的原子部分与上下文信息分组的单个容器，以便分析师可以实际使用它。它们是在MISP中与数据交互的主要方式。

手动创建事件或启用源并自动将其添加到 MISP 实例后，您需要一种方法来搜索它们以提取相关信息。在执行事件响应、威胁搜寻或安全研究活动时，您会发现自己在搜索 MISP 事件，以便为调查提供上下文。

查找存储在MISP中的事件的最简单方法是通过“事件”页面上的搜索栏。转到“事件操作”，然后单击“列出事件”以访问此页面：

“事件”页面有一个内置的搜索栏，您可以使用它来筛选 MISP 实例中的事件：

您可以使用搜索栏旁边的下拉菜单搜索以下任何字段：

• 事件信息：事件的简短描述。

• 所有字段：所有常规事件信息字段（ID、UUID、组织、标记、日期、威胁级别、分析、分布、信息和已发布）。

• ID/UUID：与事件关联的唯一标识符。

• 标签：与事件关联的标签。

在这里，我在事件信息字段中搜索了臭名昭著的“wannacry”勒索软件，并且有几个事件匹配：

筛选事件

通过搜索栏查找事件有其局限性。您可以搜索的选项是有限的，并且您无法使用多个过滤器进行搜索。一个更强大的选项是MISP的过滤器事件索引弹出窗口。此弹出窗口允许您添加多个筛选规则和布尔逻辑，从而提供对事件搜索的精细控制。让我们看看如何！

像以前一样导航到MISP事件页面，方法是转到“事件操作”，然后单击“列出事件”：

要访问“筛选器事件索引”弹出窗口，请单击“修改筛选器”按钮（搜索图标）：

这将弹出弹出窗口。然后，您可以添加规则并创建布尔逻辑以创建强大的过滤器。首先，使用下拉菜单选择要筛选的字段。这是一个比之前提供的搜索栏更广泛的列表。接下来，使用字段右侧的下拉菜单应用布尔逻辑（该下拉菜单根据您的 MISP 实例动态填充选项）。然后单击“添加”按钮将此规则添加到筛选器中。单击“应用”以运行筛选器：

此筛选功能的强大之处在于它能够同时应用多个规则。您可以继续向过滤器添加任意数量的规则。在这里，我添加了几个规则：

1. 筛选已发布事件

2. 筛选带有标记 OSINT 的事件

3. 针对具有高威胁级别的事件进行筛选

您可以使用规则旁边的“删除过滤器”按钮（垃圾桶图标）将其从过滤器中删除，如果要重复使用过滤器，请将动态生成的 URL 保存在弹出窗口的底部。

搜索属性

MISP属性是智能的原子部分，例如网络指标（IP地址，域，URL），系统指标（内存中的字符串，文件哈希等），甚至是比特币钱包。它们通常用于表示与较大威胁情报（MISP 事件）关联的入侵指标 （IOC）。

手动创建事件或启用源并自动将其添加到 MISP 实例后，您将拥有与这些事件关联的属性。在事件响应、威胁搜寻或安全研究活动期间，您将需要一种方法来搜索这些属性，以查找与调查相关的 IOC。这通常涉及为您找到的国际奥委会提供更多背景信息，以便您可以就调查的后续步骤做出明智的决定。

要搜索存储在 MISP 实例中的属性，请单击 Event Actions，然后选择 Search Attributes 选项：

这将带您进入搜索属性 Web 窗体，您可以使用该窗体搜索属性。首先，提供属性表达式（即 IP 地址、域名、文件哈希等）。然后，添加与属性关联的任何标签或事件 ID/UUID，以及与该属性相关的组织。接下来，您可以填写与属性关联的“类型”和“类别”（即 IP 地址的 ip-dst 和网络活动，或恶意文件的 sha256 和 Artifacts dropd）。最后，您可以选择是否要搜索标记为 IDS（与自动入侵检测系统兼容）的属性以及任何与时间相关的信息：

通过“搜索属性”Web 表单，您可以对搜索属性进行大量控制。但是，您通常不需要此级别的功率，只需提供属性的表达式（IOC 值）并在整个 MISP 数据库中搜索它，将其他字段保留为默认值：

单击“搜索”后，将运行您创建的查询，并且 MISP 会将您重定向到“列表属性”页面，其中将显示您的搜索结果：

总结

现在，您应该知道如何搜索和筛选存储在 MISP 实例中的事件和属性。在调查事件、执行威胁搜寻或关联安全研究活动时，这是一项基本技能。也就是说，使用 MISP 的默认 Web 界面搜索事件和属性可能既耗时又乏味。当然有更好的方法！

本系列的下一部分将向您介绍一种更好的方法。我们将深入探讨 MISP 的应用程序编程接口 （API），并探讨如何使用它以编程方式与您的 MISP 实例进行交互。您将了解如何创建基本的 Python 脚本，这些脚本可以自动执行您的日常 MISP 活动。敬请关注！

• 二进制漏洞课程(更新中)

• windows网络安全防火墙与虚拟网卡（更新完成）

• windows文件过滤(更新完成)

• USB过滤(更新完成)

• 游戏安全(更新中)

• ios逆向

• windbg

• 还有很多免费教程(限学员)

• 更多详细内容添加作者微信