incident-responsestatic-investigationsmalware-analysisnetwork-forensicscloud-forensics web-basedthreat-intelligenceapicorrelationioc-sharingautomation

🌐 MISP - Plattform für Threat Intelligence Sharing

Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 aktiven Instanzen weltweit.

Typ
SoftwareCC24-Server 📖
Schwierigkeit intermediate
Aktualisiert 20.7.2025
Autor Claude 4 Sonnett (Prompt: Mario Stöckl)
Lesezeit ~5 min
Zurück

Training Video

⚠️ Hinweis: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!

Übersicht

MISP (Malware Information Sharing Platform & Threat Sharing) ist eine freie Open-Source-Plattform zur strukturierten Erfassung, Speicherung, Analyse und gemeinsamen Nutzung von Cyber-Bedrohungsdaten. Mit über 40.000 Instanzen weltweit ist MISP der De-facto-Standard für den Austausch von Indicators of Compromise (IoCs) und Threat Intelligence zwischen CERTs, SOCs, Strafverfolgungsbehörden und anderen sicherheitsrelevanten Organisationen.

Die föderierte Architektur ermöglicht einen kontrollierten, dezentralen Austausch von Informationen über vertrauenswürdige Partner hinweg. Durch Taxonomien, Tags und integrierte APIs ist eine automatische Anreicherung, Korrelation und Verarbeitung von Informationen in SIEMs, Firewalls oder Endpoint-Lösungen möglich.

Installation

Voraussetzungen

  • Server-Betriebssystem: Linux (empfohlen: Debian/Ubuntu)
  • Abhängigkeiten: MariaDB/MySQL, PHP, Apache/Nginx, Redis
  • Ressourcen: Mindestens 4 GB RAM, SSD empfohlen

Installationsschritte

# Beispiel für Debian/Ubuntu:
sudo apt update && sudo apt install -y curl gnupg git python3 python3-pip redis-server mariadb-server apache2 php libapache2-mod-php

# MISP klonen
git clone https://github.com/MISP/MISP.git /var/www/MISP

# Setup-Skript nutzen
cd /var/www/MISP && bash INSTALL/INSTALL.debian.sh

Weitere Details: Offizielle Installationsanleitung

Konfiguration

Webserver

  • HTTPS aktivieren (Let’s Encrypt oder Reverse Proxy)
  • PHP-Konfiguration anpassen (upload_max_filesize, memory_limit, post_max_size)

Benutzerrollen

  • Administrator, Org-Admin, Analyst etc.
  • Zugriffsbeschränkungen nach Organisation/Feed definierbar

Feeds und Galaxies

  • Aktivierung von Feeds (z. B. CIRCL, Abuse.ch, OpenCTI)
  • Nutzung von Galaxies zur Klassifizierung (APT-Gruppen, Malware-Familien)

Verwendungsbeispiele

Beispiel 1: Import von IoCs aus externem Feed

  1. Feed aktivieren unter Administration → List Feeds
  2. Feed synchronisieren
  3. Ereignisse durchsuchen, analysieren, ggf. mit eigenen Daten korrelieren

Beispiel 2: Automatisierte Anbindung an SIEM

  • REST-API-Token erstellen
  • API-Calls zur Abfrage neuer Events (z. B. mit Python, Logstash oder MISP Workbench)
  • Integration in Security-Systeme über JSON/STIX export

Best Practices

  • Regelmäßige Backups der Datenbank
  • Taxonomien konsistent verwenden
  • Nutzung der Sighting-Funktion zur Validierung von IoCs
  • Vertrauensstufen (TLP, PAP) korrekt setzen
  • Nicht nur konsumieren – auch teilen!

Troubleshooting

Problem: MISP-Feeds laden nicht

Lösung:

  • Internetverbindung prüfen
  • Cronjobs aktiv?
  • Logs prüfen: /var/www/MISP/app/tmp/logs/error.log

Problem: API gibt 403 zurück

Lösung:

  • Ist der API-Key korrekt und aktiv?
  • Rechte des Benutzers überprüfen
  • IP-Filter im MISP-Backend beachten

Problem: Hohe Datenbanklast

Lösung:

  • Indizes optimieren
  • Redis aktivieren
  • Alte Events regelmäßig archivieren oder löschen

Weiterführende Themen

  • STIX2-Import/Export
  • Erweiterungen mit MISP Modules (z. B. für Virustotal, YARA)
  • Föderierte Netzwerke und Community-Portale
  • Integration mit OpenCTI oder TheHive

Links:

Lizenz: AGPL-3.0