Lesson 8.pptx

# Inleiding tot MISP Dit gedeelte introduceert het Malware Information Sharing Platform (MISP) als een open-source platform voor het beheren en uitwisselen van cyberdreigingsinformatie. ## 1. Inleiding tot MISP Het Malware Information Sharing Platform (MISP) is een open-source platform dat is ontworpen voor het beheren en uitwisselen van Cyber Threat Intelligence (CTI). Het platform is oorspronkelijk ontwikkeld door Christophe Vandeplas bij Belgian Defence en wordt momenteel verder ontwikkeld en onderhouden door CIRCL (Computer Incident Response Center Luxembourg). Het primaire doel van MISP is om organisaties te helpen bij het verzamelen, opslaan, analyseren en delen van Indicators of Compromise (IOCs). Het wordt veelvuldig gebruikt door Computer Emergency Response Teams (CERTs), Security Operations Centers (SOCs), Information Sharing and Analysis Centers (ISACs), militaire organisaties en private ondernemingen. ### 1.1 Kernconcepten binnen MISP MISP organiseert threat intelligence informatie rond verschillende kernconcepten die samen een gestructureerd en bruikbaar ecosysteem vormen voor het delen van dreigingsinformatie. #### 1.1.1 Events Een MISP-event fungeert als een container voor gerelateerde threat intelligence informatie. Het groepeert diverse indicatoren, objecten en attributen binnen een specifieke context, zoals bijvoorbeeld een phishingcampagne of een specifieke malware-uitbraak. Elk event wordt geïdentificeerd door een unieke Event ID en beschikt over metadata, waaronder de maker, de datum van creatie, toegepaste tags en het distributieniveau. Events zijn essentieel voor het organiseren en delen van informatie over specifieke incidenten of dreigingsscenario's. #### 1.1.2 Attributes Attributen zijn de meest elementaire eenheden van informatie binnen MISP en vertegenwoordigen een enkelvoudig gegevensobject gerelateerd aan een dreiging. Voorbeelden van attributen zijn een IP-adres, een domeinnaam of een e-mailadres. Elk attribuut heeft een gedefinieerd type (bijvoorbeeld `ip-src` voor bron-IP-adres, `url` voor een webadres, of `hash` voor een bestandshash), een categorie (zoals 'Network activity' of 'Malware analysis') en de feitelijke waarde. Daarnaast kunnen attributen contextuele informatie bevatten, zoals Intrusion Detection System (IDS) vlaggen of specifieke commentaren. Attributen zijn de atomische indicatoren die gebruikt worden voor detectie, correlatie en analyse over verschillende events heen. #### 1.1.3 Objects Een MISP-object is een gestructureerde verzameling van gerelateerde attributen. Objecten modelleren real-world entiteiten of technische artefacten, zoals een bestand, een combinatie van domein en IP-adres, of een specifieke kwetsbaarheid. Elk object maakt gebruik van een vooraf gedefinieerd sjabloon (template) dat de toegestane attributen en de relaties daartussen specificeert. Het gebruik van objecten verbetert de organisatie van data en zorgt voor semantische consistentie binnen threat intelligence datasets. #### 1.1.4 Event reports Event reports zijn menselijk leesbare samenvattingen of analyses die aan een specifiek event worden gekoppeld. Ze bieden narrative context, resultaten van onderzoeken, of tijdlijnen van incidenten. Deze rapporten worden typisch geschreven in Markdown voor gestructureerde en leesbare presentatie, en vullen de technische data aan met analytische inzichten. #### 1.1.5 Galaxies Galaxies zijn gestructureerde kennisbanken die gerelateerde dreigingsentiteiten groeperen, zoals threat actors, malware families, of tactieken, technieken en procedures (TTPs) zoals gedefinieerd door frameworks als MITRE ATT&CK. Elke galaxy bevat clusters met metadata en gedefinieerde relaties. Galaxies worden gebruikt om events te verrijken met high-level intelligence context en faciliteren classificatie en threat correlatie tussen verschillende MISP-instanties. Ze kunnen worden toegepast op zowel events als individuele attributen. #### 1.1.6 Correlations Correlations in MISP verwijzen naar automatische koppelingen tussen events en attributen die overeenkomen of gerelateerde data bevatten. Dit helpt bij het identificeren van gemeenschappelijke indicatoren, infrastructuur of threat actors. Deze correlaties worden vaak gevisualiseerd door middel van correlatiegrafieken of relatiekaarten, wat bijdraagt aan een verbeterd situationeel bewustzijn en effectievere threat tracking. #### 1.1.7 Proposals Proposals zijn voorgestelde wijzigingen aan attributen of objecten die zijn gemaakt door externe bijdragers. Dit mechanisme is met name nuttig wanneer gebruikers beperkte bewerkingsrechten hebben op gedeelde data. Eigenaren van events kunnen deze voorgestelde modificaties beoordelen, accepteren of afwijzen, wat bijdraagt aan het handhaven van de data-integriteit terwijl collaboratieve intelligence sharing mogelijk wordt gemaakt. #### 1.1.8 Warning lists Warning lists zijn collecties van bekende 'benigne' of 'false positive' indicatoren, zoals publieke DNS-servers of de meest populaire domeinen volgens lijsten zoals Alexa Top 1M. Deze lijsten worden automatisch vergeleken met eventdata om potentiële valse positieven te signaleren. Dit helpt analisten om zich te concentreren op de werkelijk relevante indicatoren. Deze lijsten moeten regelmatig worden bijgewerkt om hun accuraatheid te behouden. #### 1.1.9 Feeds Feeds maken het mogelijk om externe databronnen automatisch te importeren in MISP. Dit biedt toegang tot threat intelligence van publieke, commerciële of interne bronnen. Feeds zijn configureerbaar voor periodieke synchronisatie en maken continue verrijking en correlatie van dreigingsdata mogelijk. ### 1.2 Tags en Taxonomies Tags en Taxonomies spelen een cruciale rol in de categorisatie, filtering en toegangscontrole binnen MISP. #### 1.2.1 Tags Tags zijn labels die worden toegepast op events of attributen om deze te categoriseren. Ze maken snelle filtering, zoeken en handhaving van toegangsbeheer mogelijk. Tags kunnen door gebruikers zelf worden gedefinieerd of worden afgeleid van taxonomies en galaxies. Ze ondersteunen automatisering en de afdwinging van sharing policies. #### 1.2.2 Taxonomies Taxonomies zijn vooraf gedefinieerde sets van gestandaardiseerde tags, zoals de Traffic Light Protocol (TLP) classificaties of het Admiralty System. Ze zorgen voor consistente classificatie over verschillende organisaties heen. Elke taxonomie definieert een vocabulaire van betekenisvolle termen en verbetert de interoperabiliteit en de uitwisseling van gestructureerde data. ### 1.3 Admiralty System (NATO Intelligence Rating System) Het Admiralty System is een tweeledig beoordelingssysteem dat afzonderlijk de betrouwbaarheid van de bron (Source Reliability) en de geloofwaardigheid van de informatie (Information Credibility) evalueert. * **Bron Betrouwbaarheid:** Geclassificeerd van A tot F, waarbij A de meest betrouwbare bron aanduidt en F de minst betrouwbare. * **Informatie Geloofwaardigheid:** Geclassificeerd van 1 tot 6, waarbij 1 de meest geloofwaardige informatie aangeeft en 6 de minst geloofwaardige. Dit systeem erkent dat een betrouwbare bron slechte informatie kan leveren, en een onbetrouwbare bron accurate informatie kan verschaffen. De gecombineerde beoordelingen, zoals A1 (zeer betrouwbare bron, zeer geloofwaardige informatie) of C3 (gemiddeld betrouwbare bron, gemiddeld geloofwaardige informatie), maken consistente interpretatie mogelijk. De ratings zijn niet-normatief, wat betekent dat ze de beoordeelde betrouwbaarheid/geloofwaardigheid op het moment van rapportage beschrijven en geen voorspelling doen van toekomstige prestaties. Het systeem is ontworpen voor de 'fusion' en vergelijking van informatie, waardoor meerdere rapporten systematisch kunnen worden gewogen. Het is vendor- en domein-neutraal en kan worden gebruikt in diverse militaire, inlichtingen- en cybersecuritycontexten. ### 1.4 Distributieniveaus (Distribution Levels) MISP biedt een fijnmazig controlesysteem voor het bepalen hoe threat intelligence informatie wordt gedeeld. De distributieniveaus bepalen welke organisaties of gemeenschappen toegang krijgen tot specifieke events. * **Your organisation only:** Alleen zichtbaar binnen de eigen organisatie. * **This community only:** Zichtbaar binnen de eigen MISP community. * **The server on which you’re on:** Zichtbaar voor alle gebruikers van de specifieke MISP-server. * **Connected communities:** Zichtbaar voor communities die direct verbonden zijn met de eigen community. * **This community + any connected servers; but not further:** Zichtbaar voor de eigen community en verbonden servers, maar niet verder verspreid. * **All communities:** Geen restrictie op propagatie, zolang er een connectie bestaat. * **Distribution lists / Sharing groups:** Specifieke lijsten of groepen gebruikers kunnen worden aangewezen. * **Inherit event:** Het event neemt het distributieniveau over van de creator of een parent event. > **Tip:** Het correct instellen van distributieniveaus is cruciaal voor het waarborgen van de vertrouwelijkheid en het effectief delen van threat intelligence, om te voorkomen dat gevoelige informatie onbedoeld wordt verspreid. ### 1.5 Toepassingsvoorbeelden en Oefeningen MISP wordt in de praktijk gebruikt om actuele dreigingsinformatie te delen en te analyseren. De documentatie bevat links naar demonstraties en oefeningen die de functionaliteit van MISP illustreren. > **Voorbeeld:** Een demonstatie kan een scenario tonen waarbij een nieuw malware-exemplaar wordt geanalyseerd, de bijbehorende IOCs (IP-adressen, hashes, domeinen) worden geëxtraheerd en als een MISP-event worden gedeeld met andere organisaties. Oefeningen tonen hoe MISP kan worden gebruikt om te reageren op specifieke dreigingen, zoals het analyseren van APT-groepen (Advanced Persistent Threats) of het identificeren van botnet-activiteiten. --- # Kernconcepten van MISP Dit deel van de studiehandleiding behandelt de fundamentele bouwstenen van MISP (Malware Information Sharing Platform & Threat Sharing) en hun rol in het beheer en de uitwisseling van cyberdreigingsinformatie. ### 2.1 Wat is MISP? MISP is een open-source platform dat is ontworpen om organisaties te helpen bij het verzamelen, opslaan, analyseren en delen van Indicators of Compromise (IOC's) en andere cyberdreigingsinformatie (CTI). Het platform is ontwikkeld om incidentresponsteams (CERTs), Security Operations Centers (SOCs), ISACs, militaire instanties en particuliere bedrijven te ondersteunen bij het gestructureerd omgaan met dreigingsinformatie. ### 2.2 Essentiële Componenten van MISP De kernfunctionaliteit van MISP wordt gevormd door een reeks onderling verbonden concepten: #### 2.2.1 Events Een MISP-event fungeert als een container voor gerelateerde dreigingsinformatie. Het groepeert verschillende indicatoren, objecten en attributen die verband houden met een specifieke incident, dreiging of campagne. Elk event wordt geïdentificeerd door een unieke Event ID en bevat metadata zoals de maker, aanmaakdatum, distributieniveau en tags. Events zijn cruciaal voor het organiseren en delen van contextuele informatie over specifieke dreigingsscenario's. #### 2.2.2 Attributes Attributen vertegenwoordigen de meest atomische stukjes dreigingsinformatie binnen MISP. Dit kunnen specifieke gegevenspunten zijn zoals een IP-adres, een domeinnaam, een e-mailadres of een hashwaarde. Elk attribuut heeft een specifiek type (bijvoorbeeld `ip-src`, `url`, `hash`) en behoort tot een bepaalde categorie (bijvoorbeeld "Network activity"). Attributen kunnen aanvullende contextuele informatie bevatten, zoals IDS-vlaggen of commentaren. Ze zijn de bouwstenen voor detectie en correlatie over verschillende events heen. #### 2.2.3 Objects Een MISP-object is een gestructureerde verzameling van gerelateerde attributen. Objecten zijn ontworpen om reële entiteiten of technische artefacten te modelleren, zoals een bestand, een domein-IP-paar, of een kwetsbaarheid. Elk object maakt gebruik van een vooraf gedefinieerd sjabloon dat specificeert welke attributen toegestaan zijn en hoe deze zich tot elkaar verhouden. Dit bevordert de organisatie van data en zorgt voor semantische consistentie binnen dreigingsinformatiedatabases. > **Tip:** Objecten bieden een krachtige manier om complexe dreigingsinformatie op een georganiseerde en semantisch rijke manier weer te geven, wat de analyse aanzienlijk verbetert. #### 2.2.4 Event Reports Event reports zijn menselijk leesbare samenvattingen of analyses die aan een specifiek event worden gekoppeld. Ze bieden narratieve context, onderzoeksresultaten of tijdlijnen van incidenten. Deze rapporten worden doorgaans geschreven in Markdown om gestructureerde en leesbare inhoud te garanderen, en complementeren de technische data met analytische inzichten. #### 2.2.5 Galaxies Galaxies zijn gestructureerde kennisbanken die gerelateerde dreigingsentiteiten groeperen, zoals threat actors, malware families of MITRE ATT&CK technieken. Elke galaxy bevat "clusters" met metadata en relaties. Ze worden gebruikt om events te verrijken met hogere-level intelligentie en faciliteren de classificatie en correlatie van dreigingen over verschillende MISP-instances heen. Galaxies kunnen worden toegepast op zowel events als attributen. #### 2.2.6 Admiralty System Het Admiralty System, ook bekend als het NATO Intelligence Rating System, is een tweeledig beoordelingssysteem voor bronbetrouwbaarheid en informatiegeloofwaardigheid. Het evalueert onafhankelijk de betrouwbaarheid van de bron (geschaald van A tot F) en de geloofwaardigheid van de informatie (geschaald van 1 tot 6). Dit systeem erkent dat een betrouwbare bron soms minder accurate informatie kan leveren, en vice versa. De gecombineerde beoordelingen, bijvoorbeeld A1 of C3, maken consistente interpretatie mogelijk. Het systeem is ontworpen voor fusie en vergelijking, en is vendor- en domein-neutraal. * **Bronbetrouwbaarheid (A-F):** Geeft aan hoe betrouwbaar de bron historisch is gebleken. * **Informatiegeloofwaardigheid (1-6):** Geeft aan hoe waarschijnlijk de informatie zelf is, gebaseerd op de beoordeling op het moment van rapportering. #### 2.2.7 Tags Tags zijn labels die aan events of attributen worden toegekend voor categorisatie en filtering. Ze maken snelle zoekopdrachten, filtering en toegangscontrole mogelijk. Tags kunnen door gebruikers worden gedefinieerd of afgeleid worden van Taxonomies en Galaxies. Ze ondersteunen automatisering en het afdwingen van deelbeleid. #### 2.2.8 Taxonomies Taxonomies zijn vooraf gedefinieerde sets van gestandaardiseerde tags die zorgen voor consistente classificatie over verschillende organisaties heen. Elke taxonomy definieert een vocabulaire van betekenisvolle termen, wat de interoperabiliteit en het gestructureerd delen van data verbetert. Voorbeelden hiervan zijn TLP (Traffic Light Protocol) en het Admiralty System. #### 2.2.9 Correlations Correlations in MISP zijn automatische koppelingen tussen events en attributen die overeenkomende of gerelateerde data bevatten. Dit helpt bij het identificeren van gemeenschappelijke indicatoren, infrastructuur of threat actors. Correlaties worden vaak gevisualiseerd via correlatiegrafieken of relatiekaarten, wat de situationele bewustzijn en het volgen van dreigingen verbetert. #### 2.2.10 Proposals Proposals zijn voorgestelde wijzigingen aan attributen of objecten die door externe bijdragers zijn aangemaakt. Dit mechanisme wordt gebruikt wanneer gebruikers beperkte bewerkingsrechten hebben op gedeelde data. Event-eigenaren kunnen deze voorgestelde wijzigingen beoordelen, accepteren of afwijzen, wat bijdraagt aan de integriteit van de data en tegelijkertijd samenwerkende dreigingsinformatiedeling mogelijk maakt. #### 2.2.11 Warning Lists Warning Lists zijn verzamelingen van bekende goedaardige of false-positive indicatoren, zoals publieke DNS-servers of de Top 1 miljoen domeinen van Alexa. Deze lijsten worden automatisch vergeleken met de data in events om potentiële valse positieven te signaleren. Dit helpt analisten om zich te concentreren op de meest relevante indicatoren. Warning lists moeten regelmatig worden bijgewerkt om hun nauwkeurigheid te behouden. #### 2.2.12 Feeds Feeds zijn externe databronnen die automatisch worden geïmporteerd in MISP. Ze leveren dreigingsinformatie van publieke, commerciële of interne bronnen. Feeds kunnen worden geconfigureerd voor periodieke synchronisatie, wat zorgt voor een continue verrijking en correlatie van dreigingsdata. ### 2.3 Distributieniveaus MISP hanteert verschillende distributieniveaus om te bepalen hoe dreigingsinformatie wordt gedeeld. Deze niveaus bepalen de reikwijdte van de zichtbaarheid en de mogelijke propagatie van data: * **Your organisation only:** De informatie is alleen zichtbaar binnen de eigen organisatie. * **This community only:** De informatie is alleen zichtbaar binnen de direct verbonden gemeenschap (community). * **The server on which you're on:** De informatie is alleen zichtbaar op de MISP-server waar deze is gecreëerd. * **Connected communities:** De informatie is zichtbaar voor alle direct en indirect verbonden gemeenschappen. * **This community + any connected servers; but not further:** De informatie is zichtbaar voor de huidige gemeenschap en servers die direct aan deze gemeenschap gekoppeld zijn, maar niet verder. * **All communities:** De informatie heeft geen beperkingen op propagatie zolang er een verbinding bestaat. Daarnaast zijn er mogelijkheden voor `Distribution lists / Sharing groups` en kan het distributieniveau van een event worden `Inherited`. --- # Distributieniveaus en Demonstraties Dit gedeelte beschrijft de verschillende distributieniveaus binnen MISP voor het delen van informatie, met verwijzingen naar demo's en oefeningen. ### 3.1 Distributieniveaus binnen MISP MISP biedt gedetailleerde controle over hoe informatie wordt gedeeld en verspreid. Deze distributieniveaus bepalen de reikwijdte van de zichtbaarheid en toegankelijkheid van gebeurtenissen en gerelateerde data. #### 3.1.1 Beschikbare distributieniveaus De volgende distributieniveaus zijn beschikbaar binnen MISP, van meest restrictief tot minst restrictief: * **Alleen uw organisatie**: Informatie is uitsluitend zichtbaar binnen de eigen organisatie. * **Alleen deze community**: Informatie wordt gedeeld met de specifieke community waarbinnen MISP is geïnstalleerd of geconfigureerd. * **De server waarop u zich bevindt**: Informatie is zichtbaar op de MISP-instantie waar de gebruiker toegang toe heeft. Dit kan overeenkomen met "Alleen deze community" afhankelijk van de configuratie. * **Verbonden communities**: Informatie wordt gedeeld met andere communities die expliciet verbonden zijn met de huidige MISP-instantie. * **Deze community + alle verbonden servers; maar niet verder**: Informatie wordt gedeeld met de eigen community en alle direct verbonden communities, maar deelt deze niet verder met andere, indirect verbonden communities. * **Alle communities**: Er is geen restrictie op de verspreiding zolang er een verbinding bestaat tussen de MISP-instanties. Dit is het meest open niveau van delen. #### 3.1.2 Sharing groups en distributielijsten Naast de algemene distributieniveaus, kunnen gebruikers ook specifieke "sharing groups" of distributielijsten creëren. Deze fungeren als groepen van organisaties of communities waaraan informatie specifiek kan worden gedeeld. Gebeurtenissen kunnen deze distributieniveaus erven, waardoor ze standaard de ingestelde distributie van de gebeurtenis overnemen. ### 3.2 Demonstraties en oefeningen Om de functionaliteiten van MISP te illustreren en gebruikers praktisch te laten oefenen, worden demonstraties en oefeningen aangeboden. Deze kunnen variëren van specifieke scenario's tot het analyseren van werkelijke dreigingsinformatie. #### 3.2.1 Voorbeelden van demo's en oefeningen Hieronder volgen enkele voorbeelden van demonstraties en oefeningen die relevant zijn voor MISP: * **Demo Scenario 1**: Een demonstratie die de functionaliteit van MISP demonstreert, mogelijk met betrekking tot de "AppSuite OneStart Deception" technologie. * Een mogelijke link voor deze demonstratie is: `https://www.gdatasoftware.com/blog/2025/09/38262-appsuite-onestart-deception`. * Een interne referentie naar een gebeurtenis voor deze demo kan zijn: `https://localhost/events/view/d58aa25d-4c4a-5d02-92bd-ca841850aa59`. * **Oefening Scenario 1**: Een praktische oefening gericht op het analyseren van dreigingsinformatie, bijvoorbeeld gerelateerd aan APT24 en hun aanvalspatronen. * Een mogelijke bron voor deze oefening is de analyse van APT24's strategie: `https://cloud.google.com/blog/topics/threat-intelligence/apt24-pivot-to-multi-vector-attacks`. * Een interne referentie naar een gebeurtenis voor deze oefening kan zijn: `https://localhost/events/view/f8727d06-1bac-4624-982b-7324439e6c53`. * **Oefening Scenario 2**: Een oefening die zich richt op het identificeren en analyseren van een specifieke dreiging, zoals de "ShadowBot" DDoS-botnet. * Een mogelijke bron voor deze oefening is een analyse van ShadowBot: `https://www.darktrace.com/blog/shadowv2-an-emerging-ddos-for-hire-botnet`. * Een interne referentie naar een gebeurtenis voor deze oefening kan zijn: `https://localhost/events/view/44a65216-3609-47d6-94c4-ceea4175e2a6`. > **Tip:** Door deze demo's en oefeningen te doorlopen, kan men een dieper inzicht krijgen in hoe MISP wordt gebruikt voor het beheren en delen van cyber dreigingsinformatie in realistische scenario's. Het bestuderen van de gebeurtenis-ID's kan helpen bij het navigeren binnen een MISP-instantie om de corresponderende data te bekijken. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | MISP (Malware Information Sharing Platform & Threat Sharing) | Een open-source platform ontworpen voor het beheren, opslaan, analyseren en delen van cyberdreigingsinformatie, met name Indicatoren van Compromittering (IOCs). | | Cyberdreigingsinformatie (CTI) | Informatie die wordt verzameld, verwerkt en geanalyseerd om inzicht te krijgen in potentiële of bestaande bedreigingen en aanvallen op computersystemen en netwerken. | | Indicatoren van Compromittering (IOC) | Bewijs van een beveiligingsincident, zoals de aanwezigheid van kwaadaardige IP-adressen, domeinnamen, bestands-hashes of registervermeldingen die duiden op een compromis. | | Event (in MISP) | Een container binnen MISP die gerelateerde dreigingsinformatie, zoals indicatoren, objecten en attributen, groepeert in een enkele context, bijvoorbeeld een specifieke phishingcampagne of een beveiligingsincident. | | Attribute (in MISP) | Een enkelvoudig gegevenselement binnen een MISP-event dat een specifiek stuk dreigingsinformatie vertegenwoordigt, zoals een IP-adres, domeinnaam of e-mailadres, met een gedefinieerd type en categorie. | | Object (in MISP) | Een gestructureerde verzameling van gerelateerde attributen binnen MISP, die reële entiteiten of technische artefacten modelleert, zoals een bestand, een domein-IP-relatie of een kwetsbaarheid, met behulp van vooraf gedefinieerde templates. | | Event Report | Een menselijk leesbare samenvatting of analyse die aan een MISP-event is gekoppeld en narratieve context, onderzoeksresultaten of incidenttijdlijnen biedt, vaak geschreven in Markdown. | | Tags | Labels die worden toegepast op MISP-events of attributen voor categorisatie, wat snelle filtering, zoeken en toegangscontrole mogelijk maakt en de ondersteuning van automatisering en het delen van beleid vergemakkelijkt. | | Taxonomieën | Vooraf gedefinieerde sets van gestandaardiseerde tags, zoals TLP (Traffic Light Protocol) of de Admiralty Scale, die zorgen voor consistente classificatie en de interoperabiliteit tussen organisaties verbeteren. | | Admiralty System | Een beoordelingssysteem (ook bekend als NATO Intelligence Rating System) dat de betrouwbaarheid van de bron (A-F) en de geloofwaardigheid van de informatie (1-6) scheidt om de kwaliteit van inlichtingen systematisch te evalueren en te vergelijken. | | Galaxies | Gestructureerde kennisbases binnen MISP die gerelateerde dreigingsentiteiten, zoals aanvallers of malwarefamilies, groeperen, metadata en relaties bevatten om events te verrijken met context en correlatie over verschillende MISP-instanties heen te faciliteren. | | Correlaties | Automatische koppelingen tussen MISP-events en attributen die gebaseerd zijn op overeenkomende of gerelateerde gegevens, helpen bij het identificeren van gemeenschappelijke indicatoren, infrastructuur of aanvallers. | | Voorstellen (Proposals) | Voorgestelde wijzigingen aan attributen of objecten die door externe bijdragers worden gemaakt en die door de eigenaren van het event kunnen worden beoordeeld, geaccepteerd of afgewezen, wat bijdraagt aan gegevensintegriteit en samenwerking. | | Waarschuwingslijsten (Warning Lists) | Verzamelingen van bekende onschuldige of valse-positieve indicatoren die automatisch worden vergeleken met eventgegevens om potentiële valse positieven te markeren, waardoor analisten zich kunnen richten op relevante informatie. | | Feeds | Externe gegevensbronnen die automatisch in MISP worden geïmporteerd, wat zorgt voor continue verrijking en correlatie van dreigingsgegevens uit openbare, commerciële of interne bronnen. | | Distributieniveaus | Verschillende niveaus die de reikwijdte van het delen van informatie binnen MISP bepalen, variërend van strikt privé tot volledig openbaar, afhankelijk van de vertrouwelijkheid van de dreigingsinformatie. |