4.4 KiB
title, tool_name, description, last_updated, author, difficulty, categories, tags, sections, review_status
| title | tool_name | description | last_updated | author | difficulty | categories | tags | sections | review_status | |||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| MISP - Plattform für Threat Intelligence Sharing | MISP | Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 aktiven Instanzen weltweit. | 2025-07-20 | Claude 4 Sonnett (Prompt: Mario Stöckl) | intermediate |
|
|
|
published |
⚠️ Hinweis: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
Übersicht
MISP (Malware Information Sharing Platform & Threat Sharing) ist eine freie Open-Source-Plattform zur strukturierten Erfassung, Speicherung, Analyse und gemeinsamen Nutzung von Cyber-Bedrohungsdaten. Mit über 40.000 Instanzen weltweit ist MISP der De-facto-Standard für den Austausch von Indicators of Compromise (IoCs) und Threat Intelligence zwischen CERTs, SOCs, Strafverfolgungsbehörden und anderen sicherheitsrelevanten Organisationen.
Die föderierte Architektur ermöglicht einen kontrollierten, dezentralen Austausch von Informationen über vertrauenswürdige Partner hinweg. Durch Taxonomien, Tags und integrierte APIs ist eine automatische Anreicherung, Korrelation und Verarbeitung von Informationen in SIEMs, Firewalls oder Endpoint-Lösungen möglich.
Installation
Voraussetzungen
- Server-Betriebssystem: Linux (empfohlen: Debian/Ubuntu)
- Abhängigkeiten: MariaDB/MySQL, PHP, Apache/Nginx, Redis
- Ressourcen: Mindestens 4 GB RAM, SSD empfohlen
Installationsschritte
# Beispiel für Debian/Ubuntu:
sudo apt update && sudo apt install -y curl gnupg git python3 python3-pip redis-server mariadb-server apache2 php libapache2-mod-php
# MISP klonen
git clone https://github.com/MISP/MISP.git /var/www/MISP
# Setup-Skript nutzen
cd /var/www/MISP && bash INSTALL/INSTALL.debian.sh
Weitere Details: Offizielle Installationsanleitung
Konfiguration
Webserver
- HTTPS aktivieren (Let's Encrypt oder Reverse Proxy)
- PHP-Konfiguration anpassen (
upload_max_filesize,memory_limit,post_max_size)
Benutzerrollen
- Administrator, Org-Admin, Analyst etc.
- Zugriffsbeschränkungen nach Organisation/Feed definierbar
Feeds und Galaxies
- Aktivierung von Feeds (z. B. CIRCL, Abuse.ch, OpenCTI)
- Nutzung von Galaxies zur Klassifizierung (APT-Gruppen, Malware-Familien)
Verwendungsbeispiele
Beispiel 1: Import von IoCs aus externem Feed
- Feed aktivieren unter Administration → List Feeds
- Feed synchronisieren
- Ereignisse durchsuchen, analysieren, ggf. mit eigenen Daten korrelieren
Beispiel 2: Automatisierte Anbindung an SIEM
- REST-API-Token erstellen
- API-Calls zur Abfrage neuer Events (z. B. mit Python, Logstash oder MISP Workbench)
- Integration in Security-Systeme über JSON/STIX export
Best Practices
- Regelmäßige Backups der Datenbank
- Taxonomien konsistent verwenden
- Nutzung der Sighting-Funktion zur Validierung von IoCs
- Vertrauensstufen (TLP, PAP) korrekt setzen
- Nicht nur konsumieren – auch teilen!
Troubleshooting
Problem: MISP-Feeds laden nicht
Lösung:
- Internetverbindung prüfen
- Cronjobs aktiv?
- Logs prüfen:
/var/www/MISP/app/tmp/logs/error.log
Problem: API gibt 403 zurück
Lösung:
- Ist der API-Key korrekt und aktiv?
- Rechte des Benutzers überprüfen
- IP-Filter im MISP-Backend beachten
Problem: Hohe Datenbanklast
Lösung:
- Indizes optimieren
- Redis aktivieren
- Alte Events regelmäßig archivieren oder löschen
Weiterführende Themen
- STIX2-Import/Export
- Erweiterungen mit MISP Modules (z. B. für Virustotal, YARA)
- Föderierte Netzwerke und Community-Portale
- Integration mit OpenCTI oder TheHive
Links:
Lizenz: AGPL-3.0