Как интегрировать потоки данных об угрозах с Malware Information Sharing Platform (MISP) для Linux
Malware Information Sharing Platform (MISP) — это платформа для анализа угроз и обмена информацией, имеющая открытый исходный код. «Лаборатория Касперского» предлагает интеграцию потоков данных об угрозах с MISP с помощью приложения Kaspersky Threat Feed для MISP версии 1.x или 2.x.
Оба приложения позволяют импортировать и обновлять потоки данных об угрозах в MISP.
Как интегрировать потоки данных об угрозах с MISP с помощью приложения Kaspersky Threat Feed для MISP версии 1.x
В приложении каждый поток импортируется как событие MISP. Индикаторы из потоков добавляются к событиям как атрибуты.
Для интеграции с MISP:
- Загрузите Kaspersky Threat Feed для MISP версии 1.x (SHA256: 552c5706b5ae0827211d4457002d074cc51caf0c8dce67674a3ba5d2ba0f2f00).
- Установите приложение. Инструкция в справке.
Как интегрировать потоки данных об угрозах с MISP с помощью приложения Kaspersky Threat Feed для MISP версии 2.x
Приложение импортирует потоки данных об угрозах с помощью функции Feeds путем преобразования потоков в формат MISP JSON (Kaspersky Threat Feed для MISP версии 1.x использует API для импорта потоков). Каждая запись из потоков данных об угрозах импортируется как событие MISP. Это позволит вам сопоставлять записи на основе их контекста (в приложении Kaspersky Threat Feed для MISP версии 1.x события MISP включают все записи из каждого потока данных).
Приложение Kaspersky Threat Feed для MISP версии 2.x хорошо подходит для анализа информации об угрозах и поиска взаимосвязей между различными индикаторами.
Для получения лучшей производительности первоначального импорта и последующих обновлений данных Kaspersky Threat Data Feeds рекомендуется произвести настройку MISP в соответствии с рекомендациями.
Для интеграции с MISP:
- Загрузите Kaspersky Threat Feed для MISP версии 2.x (SHA256: 0e50e394f74f770192b9d4bdf56c956076541b5324e56b208055517b64d57a37).
- Установите приложение. Инструкция в справке.
