MISP 模块

编辑

在 7.14.0 中已弃用。

此模块已弃用。请改用威胁情报模块

此功能为测试版,可能会发生更改。其设计和代码不如官方 GA 功能成熟,并按“原样”提供,不提供任何保证。测试版功能不受官方 GA 功能的支持 SLA 约束。

这是一个 Filebeat 模块,用于从 MISP 平台读取威胁情报信息 (https://www.circl.lu/doc/misp/)。它使用 httpjson 输入来访问 MISP REST API 接口。

config.yml 文件中的配置使用以下格式

  • var.api_key:指定用于访问 MISP 的 API 密钥。
  • var.http_request_body:一个包含任何需要发送到搜索 API 的参数的对象。默认值:limit: 1000
  • var.url:MISP REST API 的 URL,例如,“http://x.x.x.x/attributes/restSearch”

阅读快速入门,了解如何配置和运行模块。

示例仪表板

编辑

此模块附带一个示例仪表板。例如

kibana misp

字段

编辑

有关模块中每个字段的描述,请参阅导出的字段部分。