معرفی بستر اشتراک گذاری اطلاعات تهدیدات MISP
معرفی بستر اشتراک گذاری اطلاعات تهدیدات MISP
MISP یک راهکار نرم افزاری متن باز جهت جمع آوری، ذخیره سازی، توزیع و اشتراک گذاری اطلاعات رخدادهای امنیتی و نتایج حاصل از تحلیل بدافزار است. MISP که به عنوان یک پلتفرم Threat Intelligence Sharing توسط کارشناسان امنیت و تحلیلگران رخدادهای سایبری در سراسر نقاط دنیا طراحی شده است، به کارشناسان و ذینفعان حوزه امنیت سایبری کمک می کند تا عملیات روزانه خود را با بهره گیری از اطلاعات اشتراک گذاری شده، به بهترین و سریع ترین شکل به سرانجام برسانند.
بستر MISP قابلیت های متعددی را جهت تبادل اطلاعات تهدید و همچنین مصرف این اطلاعات از سوی سیستم های تشخیص نفوذ، ابزارهای تحلیل لاگ و SIEM ها ارایه می دهد. در ادامه برخی از قابلیت های مذکور فهرست شده است.
قابلیت Export
تولید خروجی با فرمت های مختلفی نظیر JSON، XML، CSV، Plain Text، OpenIOC، STIX و … جهت تجمیع با سایر ابزارهای امنیتی از ویژگی هایی متمایز MISP است. علاوه بر این، بستر مذکور قابلیت Export مستقیم خروجی در رول های Snort، Suricata، ArcSight و … را دارد.
قابلیت Import
علاوه بر تولید خروجی های متنوع، MISP می تواند درقالب های مختلفی نظیر OpenIOC، CSV، STIX و … ورودی دریافت کند. نحوه دریافت این اطلاعات می تواند به صورت تکی و یا دسته ای (در قالب فایلی مثلا با فرمت CSV) باشد.
قابلیت اشتراک گذاری داده ها
تبادل و همگام سازی خودکار اطلاعات تهدید با سایر بخش ها و سرویس های اشتراک گذاری اطلاعات از دیگر قابلیت های مهم MISP به شمار می رود. به عنوان نمونه، MISP می تواند اطلاعات موجود در پایگاه داده های خود را با یک یا چند بستر MISP، ThreatConnect و بسترهایی از این دست، با اشتراک بگذارد.
API انعطاف پذیر
بستر MISP، جهت واکشی، افزودن یا به روز رسانی نشانه های تهدید، با یک کتابخانه انعطاف پذیر پایتون به نام PyMISP کار می کند که باعث تسهیل در یکپارچه کردن MISP با سایر راهکارهای امنیتی خواهد شد.
نمایش اطلاعات مبتنی بر استانداردهای مطرح
MISP می تواند اطلاعات را مبتنی بر مدل های شناخته شده ای نظیر MITRE ATT@CK ارایه دهد که این موضوع خوانایی، درک و استفاده از این اطلاعات را سریع تر و آسان تر می سازد.
معماری انعطاف پذیر
قابلیت های MISP تنها به موارد طراحی شده محدود نمی شود و کارشناسان امنیت در صورت نیاز به قابلیتی جدید می تواند Module مورد نظر خود را ایجاد به سایر ماژول های فعال MISP بیافزایند. به عنوان نمونه، در صورتی که کارشناسان امنیت نیاز به خروجی با فرمتی غیر از فرمت های پیش فرض MISP دارند، می توانند به سادگی ماژول مورد نظر خود را طراحی و به بخش ماژول های Export بیافزاند.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.