Cortex Cortex 与 TheHive 是一个团队开发的产品。Cortex 使用分析器获取日志中有关指标信息的其他数据。允许在第三方服务中查询 IP、URL 与文件哈希等指标，并将第三方返回的结果作为附加信息丰富告警事件。

ATT&CK与CAPEC的比较 了解对手的行为在网络安全中越来越重要。有两种方法用于组织关于对手行为的知识——CAPEC和ATT&CK，每一种方法都关注于一组特定的用例。 本页解释了CAPEC和ATT&CK之间的相同点、不同点和关系，以及它们在网络安全中的作用。 一、常见攻击模式枚举和分类(CAPEC) CAPEC关注于应用程序安全性，并描述了敌手利用网络能力中的已知弱点所使用的通用属性和技术。(例如，SQL注入、XSS、会话固定、点击劫持) （1）关注应用程序安全性 （2）列举针对脆弱系统的攻击 （3）包括社会工程/供应链 （4）与通用弱点枚举(CWE)相关联 二、对抗性战术、技巧与常识(ATT&CK) 对抗性战术、技巧与常识(ATT&CK)专注于网络防御，描述了敌方生命周期、攻击前和攻击后的作战阶段(例如，持久性、横向移动、撤退)，并详细描述了高级持续性威胁(APT)在瞄准、破坏和在网络内作战时用来执行目标的具体战术、技术和程序(ttp)。 （1）专注于网络防御 （2）基于威胁情报和红队的研究 （3）提供对恶意行为的上下文理解 （4）支持测 ...

一个4-in-1安全事件响应平台 一个可扩展的、开源的、免费的安全事件响应平台，与MISP(恶意软件信息共享平台)紧密集成，旨在为soc、csirt、CERTs和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员提供更方便的工作。 TheHive是一个可扩展的4-in-1开源和免费的安全事件响应平台，旨在让soc、csirt、CERTs和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员的生活更容易。它是MISP的完美伴侣。您可以将它与一个或多个MISP实例同步，以启动MISP事件的调查。您还可以将调查结果作为MISP事件导出，以帮助您的同行和合作伙伴检测和响应您所处理的攻击。此外，当hive与Cortex一起使用时，安全分析师和研究人员可以使用超过100个分析人员轻松分析上百个观察结果，包含一个事件或根除恶意软件，这多亏了Cortex的响应。 一、合作（Collaborate） 多个SOC和CERT分析师可以同时协作进行调查。由于内置的实时流，与新的或现有的案例、任务、可观察性和IOCs相关的实时信息对所有团队成员都是可用的。特殊通知允许他们处理或分配新的任务， ...

恶意软件信息共享平台（MISP） 一、MISP是什么? 恶意软件信息共享平台是由社区成员、恶意软件知识库和基于web的平台组成的。它是智能防御概念的一个实际和成功的实例，与当前所有北约网络防御信息共享倡议完全一致。 MISP最初是为了支持北约计算机事件响应能力技术中心(NCIRC TC)的任务而构建的，它允许在可信的社区内共享恶意软件的技术特征，而不必共享关于事件上下文的信息。 它结合了一个可搜索的存储库和一个多向的信息共享机制。在可能的情况下，MISP还提供自动化机制，支持数据的自动导入和导出以及与其他系统的接口。其目的是加速事件的检测和防御措施的制定，特别是针对那些没有被反病毒保护所阻止的恶意软件，或者是复杂的有针对性的入侵企图的一部分。 二、为什么要使用MISP? 北约已被证明的能力，可以被国家使用 MISP是安全事件调查人员、恶意软件分析师和事件处理程序的日常知识库和工具。2012年6月以来NCIRC积极使用它。 恶意软件专家将在MISP中发现他们需要与他们的发现相关联的破坏指标(IOC)，以及检测系统的更新。他们还将发现恶意软件样本和各种各样的恶意软件技术信 ...

将MISP威胁事件导出成Suricata规则文件 在MISP中，你可以将威胁事件导出成Suricata的规则检测文件。以下是具体的操作步骤： 登录MISP：首先，你需要登录你的MISP账户。 选择事件：在MISP的主界面，点击左侧的Event Actions，然后选择List Events。在事件列表中，找到你想要导出的事件。 导出事件：点击你选择的事件，进入事件详情页面。在页面顶部，你会看到一个Download as的下拉菜单。点击这个菜单，然后选择Suricata。这将会下载一个包含Suricata规则的.rules文件。 保存规则文件：将下载的.rules文件保存到你的Suricata规则目录中。通常，这个目录的位置是/etc/suricata/rules1。 更新Suricata配置：打开Suricata的配置文件（通常位于/etc/suricata/suricata.yaml1），找到rule-files部分。在这个部分，添加一个新的行，内容是你刚刚保存的.rules文件的文件名1。 重启Suricata：最后，你需要重启Suricata以应用新的规 ...

MISP-开源威胁情报共享平台 MISP（核心软件） - 开源威胁情报和共享平台（以前称为恶意软件信息共享平台） MISP是一种开源软件解决方案，用于收集，存储，分发和共享有关网络安全事件分析和恶意软件分析的网络安全指标和威胁。 MISP由事件分析师，安全和ICT专业人员或恶意软件逆转器设计，以支持他们的日常运营，以有效地共享结构化信息。 MISP的目标是促进安全社区和国外的结构化信息共享。 MISP提供支持信息交换的功能，但也提供网络入侵检测系统（NIDS），LIDS以及日志分析工具SIEM对所述信息的消费。 交换信息可以更快地检测到目标攻击并提高检测率，同时减少误报。 我们还避免扭转类似的恶意软件，因为我们非常清楚其他团队或组织已经分析了特定的恶意软件。 MISP 意软件信息共享平台和威胁共享平台的核心功能包括： 高效的IOC和指标数据库，允许存储有关恶意软件样本，事件，攻击者和情报的技术和非技术信息。 自动关联查找来自恶意软件，攻击活动或分析的属性和指标之间的关系。相关引擎包括属性之间的相关性和更高级的相关性，例如模糊散列相关（例如ssdeep）或CIDR块匹配。也可以 ...

MISP中添加OTX威胁情报的feed 在MISP中添加OTX威胁情报的feed，你可以按照以下步骤操作： 登录MISP：首先，你需要登录你的MISP账户。 进入Feeds页面：在MISP的主界面，点击左侧的Sync Actions，然后选择List Feeds。 添加新的Feed：在Feeds页面，点击右上角的Add Feed按钮。 填写Feed信息：在新的页面中，你需要填写以下信息： Provider：输入OTX。 Name：输入你想要的Feed名称，例如OTX Threat Feed。 Input Source：选择Network。 URL：输入OTX的Feed URL。你需要在OTX网站上创建一个API key，并将其添加到URL中。例如，URL可能类似于https://otx.alienvault.com/api/v1/indicators/export。 Source Format：选择MISP。 Enabled：勾选此选项以启用这个Feed。 Distribution：选择适合你的分发设置。 Sharing Group：如果你选择了Sharing Gr ...

为威胁情报和机器学习研究收集和策划IOC白名单 在这篇文章中，我分享了我为威胁情报和机器学习研究建立和维护大量良性的IOCs(白名单)的经验。 白名单在威胁情报关联中是一个有用的概念，因为它可以很容易地让良性观察进入威胁情报指示源，特别是来自开源供应商或供应商，他们不应该那么小心。如果这些威胁情报源被用于阻塞(例如，在防火墙或WAF设备中)或警报(例如，在SIEM或IDS中的日志关联)，良性条目进入安全控制的成本将非常高(浪费分析时间来筛选假阳性警报，或为被阻塞的合法网站损失业务生产力)。白名单通常用于过滤威胁情报源中的可观察信息，如果它们与事件日志(例如，bluecoat代理日志、防火墙日志等)相交，则几乎肯定会被标记为假阳性，并用于警报。白名单对于构建机器学习模型和丰富上下文信息所需的标记数据集也非常有用。 良性观察的典型例子是8.8.8.8(谷歌发布的开放DNS解析器)。这已经在许多开源和商业威胁情报中错误地找到了它的方式，因为有时恶意软件使用这个IP来进行DNS解析，或者他们ping它来进行连接检查。由于威胁feed的派生/收集方式不同，通常会有许多其他可观察对象进入威胁fe ...

MISP允许的操作协议 允许操作协议(简称:PAP)的设计目的是说明如何使用接收到的信息。 一、PAP:红色 (PAP:红色)无法检测的动作。收件人不得使用PAP:网络上的红色信息。只有日志上的被动动作，从外部是无法检测到的。 二、PAP:琥珀 (PAP:琥珀)被动交叉检查。收件人可以使用PAP:用于进行在线检查的黄色信息，如使用第三方提供的服务(如VirusTotal)，或设置一个监控蜜罐。 三、PAP:绿色 (PAP:绿色)允许主动操作。接收者可以使用PAP:绿色信息来ping目标，阻止从目标到目标的传入/传出流量，或者专门配置蜜罐来与目标交互。 四、PAP:白色 (PAP:白色)不限制使用此信息。 https://www.misp-project.org/taxonomies.html#_pap 

如何使用MISP的API Welcome back to this series on using MISP for threat intelligence! MISP (Malware Information Sharing Platform and Threat Sharing) is an open-source threat intelligence platform that allows you to share, collate, analyze, and distribute threat intelligence. It is used across industries and governments worldwide to share and analyze information about the latest threats. This series aims to give you the knowledge you need to get up and running with MISP as quickly as possible. If you ...