mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity
forensic-pathways/src/content/knowledgebase/tool-misp.md
overcuriousity 27b94edcfa simplify video stuff
2025-08-12 22:13:14 +02:00

135 lines
4.4 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

---
title: "MISP - Plattform für Threat Intelligence Sharing"
tool_name: "MISP"
description: "Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 aktiven Instanzen weltweit."
last_updated: 2025-07-20
author: "Claude 4 Sonnett (Prompt: Mario Stöckl)"
difficulty: "intermediate"
categories: ["incident-response", "static-investigations", "malware-analysis", "network-forensics", "cloud-forensics"]
tags: ["web-based", "threat-intelligence", "api", "correlation", "ioc-sharing", "automation"]
sections:
overview: true
installation: true
configuration: true
usage_examples: true
best_practices: true
troubleshooting: true
advanced_topics: false
review_status: "published"
---
<video src="https://cloud.cc24.dev/s/ZmPK86M86fWyGQk" controls title="Training Video"></video>
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
# Übersicht
**MISP (Malware Information Sharing Platform & Threat Sharing)** ist eine freie Open-Source-Plattform zur strukturierten Erfassung, Speicherung, Analyse und gemeinsamen Nutzung von Cyber-Bedrohungsdaten. Mit über 40.000 Instanzen weltweit ist MISP der De-facto-Standard für den Austausch von Indicators of Compromise (IoCs) und Threat Intelligence zwischen CERTs, SOCs, Strafverfolgungsbehörden und anderen sicherheitsrelevanten Organisationen.
Die föderierte Architektur ermöglicht einen kontrollierten, dezentralen Austausch von Informationen über vertrauenswürdige Partner hinweg. Durch Taxonomien, Tags und integrierte APIs ist eine automatische Anreicherung, Korrelation und Verarbeitung von Informationen in SIEMs, Firewalls oder Endpoint-Lösungen möglich.
## Installation
### Voraussetzungen
- **Server-Betriebssystem:** Linux (empfohlen: Debian/Ubuntu)
- **Abhängigkeiten:** MariaDB/MySQL, PHP, Apache/Nginx, Redis
- **Ressourcen:** Mindestens 4 GB RAM, SSD empfohlen
### Installationsschritte
```bash
# Beispiel für Debian/Ubuntu:
sudo apt update && sudo apt install -y curl gnupg git python3 python3-pip redis-server mariadb-server apache2 php libapache2-mod-php
# MISP klonen
git clone https://github.com/MISP/MISP.git /var/www/MISP
# Setup-Skript nutzen
cd /var/www/MISP && bash INSTALL/INSTALL.debian.sh
````
Weitere Details: [Offizielle Installationsanleitung](https://misp.github.io/MISP/INSTALL.debian/)
## Konfiguration
### Webserver
* HTTPS aktivieren (Let's Encrypt oder Reverse Proxy)
* PHP-Konfiguration anpassen (`upload_max_filesize`, `memory_limit`, `post_max_size`)
### Benutzerrollen
* Administrator, Org-Admin, Analyst etc.
* Zugriffsbeschränkungen nach Organisation/Feed definierbar
### Feeds und Galaxies
* Aktivierung von Feeds (z.B. CIRCL, Abuse.ch, OpenCTI)
* Nutzung von Galaxies zur Klassifizierung (APT-Gruppen, Malware-Familien)
## Verwendungsbeispiele
### Beispiel 1: Import von IoCs aus externem Feed
1. Feed aktivieren unter **Administration → List Feeds**
2. Feed synchronisieren
3. Ereignisse durchsuchen, analysieren, ggf. mit eigenen Daten korrelieren
### Beispiel 2: Automatisierte Anbindung an SIEM
* REST-API-Token erstellen
* API-Calls zur Abfrage neuer Events (z.B. mit Python, Logstash oder MISP Workbench)
* Integration in Security-Systeme über JSON/STIX export
## Best Practices
* Regelmäßige Backups der Datenbank
* Taxonomien konsistent verwenden
* Nutzung der Sighting-Funktion zur Validierung von IoCs
* Vertrauensstufen (TLP, PAP) korrekt setzen
* Nicht nur konsumieren auch teilen!
## Troubleshooting
### Problem: MISP-Feeds laden nicht
**Lösung:**
* Internetverbindung prüfen
* Cronjobs aktiv?
* Logs prüfen: `/var/www/MISP/app/tmp/logs/error.log`
### Problem: API gibt 403 zurück
**Lösung:**
* Ist der API-Key korrekt und aktiv?
* Rechte des Benutzers überprüfen
* IP-Filter im MISP-Backend beachten
### Problem: Hohe Datenbanklast
**Lösung:**
* Indizes optimieren
* Redis aktivieren
* Alte Events regelmäßig archivieren oder löschen
## Weiterführende Themen
* STIX2-Import/Export
* Erweiterungen mit MISP Modules (z.B. für Virustotal, YARA)
* Föderierte Netzwerke und Community-Portale
* Integration mit OpenCTI oder TheHive
---
**Links:**
* 🌐 [Offizielle Projektseite](https://misp-project.org/)
* 📦 [CC24-MISP-Instanz](https://misp.cc24.dev)
* 📊 [Status-Monitoring](https://status.mikoshi.de/api/badge/34/status)
Lizenz: **AGPL-3.0**
Reference in New Issue View Git Blame Copy Permalink