MISP — Partage de renseignement sur les menaces
★★★★★
Présentation
MISP (Malware Information Sharing Platform) est la référence open-source pour stocker, structurer et partager des indicateurs de compromission (IOC) entre organisations, via des événements et attributs normalisés.
Concepts & API
# Événement = incident/campagne ; Attributs = IOC (ip, hash, domaine)
# Galaxies = TTPs (MITRE ATT&CK), threat actors
# API : récupérer des IOC récents
curl -H 'Authorization: $KEY' -H 'Accept: application/json' \
https://misp/events/restSearch -d '{"last":"7d"}'
# Export pour outils défensifs (Suricata, Snort, Bro)
https://misp/events/nids/suricata/download Usage défensif
Diffuser automatiquement les IOC vers IDS/EDR/firewall, corréler les événements entre membres d'une communauté de partage, et enrichir TheHive/Cortex. Le scoring et l'expiration des IOC évitent les faux positifs sur des indicateurs périmés.