Distribution & Sharing Groups in MISP
- Kalina Georgieva
- 16. Juni
- 2 Min. Lesezeit
Der Austausch von Threat Intelligence ist wirkungsvoll - aber nur, wenn er sicher und gezielt erfolgt. In MISP kann jede hinzugefügte Information mithilfe flexibler Verteilungseinstellungen, Sharing-Gruppen und TLP-Stufen (Traffic Light Protocol) präzise gesteuert werden.
Dieser Beitrag erläutert, wie diese Mechanismen funktionieren und wie sie effektiv im goMISP oder einer beliebigen MISP-as-a-Service-Umgebung genutzt werden können.
Verteilungsstufen: Wer sieht was?
Beim Erstellen oder Bearbeiten eines Events oder Attributs in MISP wird eine Verteilungsstufe festgelegt. Diese regelt, wer Zugriff auf die Daten erhält. Die Struktur ähnelt dabei dem Rollen- und Rechtemodell der Benutzerverwaltung (siehe entsprechender Abschnitt).
Die vier integrierten Optionen:
Stufe | Zugriffsberechtigte | Typisches Einsatzszenario |
Nur eigene Organisation | Nur Nutzer der eigenen Organisation | Interner Gebrauch, sensible Informationen |
Nur diese Community | Andere Organisationen innerhalb derselben MISP-Instanz | Austausch innerhalb einer geschlossenen Community |
Verbundene Communities | Synchronisierte MISP-Instanzen | Austausch mit vertrauenswürdigen Partnern |
Alle Communities | Weltweit über MISP-Sync | Öffentliche Kampagnen, freie Threat Intelligence |
Tipp: Zu Beginn lieber vorsichtig teilen. Die Verteilung lässt sich später erweitern – rückgängig machen lässt sich geteilte Information jedoch nicht.
Sharing-Gruppen: Fein abgestufte Zugriffskontrolle
In manchen Fällen reichen Verteilungsstufen nicht aus.Beispiel: Es sollen Informationen nur mit bestimmten Partnern, aber nicht mit der gesamten Community geteilt werden.
Hier kommen Sharing-Gruppen ins Spiel:
Eine benannte Gruppe vertrauenswürdiger Organisationen definieren (z. B. „EU CERT Network“)
Diese Gruppe einem Event oder Attribut zuweisen
Nur Mitglieder dieser Gruppe erhalten Zugriff – unabhängig von der allgemeinen Verteilungsstufe
Ideal für Arbeitsgruppen, Kooperationen oder den Austausch sensibler Informationen.
TLP: Traffic Light Protocol zur Sichtbarkeits- und Nutzungskontrolle
TLP ist ein einfaches, farbcodiertes System zur Regelung, wie geteilte Daten verwendet werden dürfen:
TLP-Stufe | Bedeutung |
TLP:RED | Nur für namentlich genannte Empfänger – keine Weitergabe |
TLP:AMBER | Eingeschränkte Weitergabe innerhalb von Organisationen |
TLP:GREEN | Freigabe innerhalb der Community |
TLP:CLEAR | Öffentlich, keine Einschränkungen |
In MISP kann die TLP-Stufe auf Attribut- oder Event-Ebene angewendet werden. Sie hilft Empfängern, Informationen korrekt und verantwortungsvoll zu behandeln (siehe Dokumentation).
Best Practices für sicheres Teilen in goMISP
„Nur eigene Organisation“ oder Sharing-Gruppen bei sensiblen IOCs oder kundenbezogenen Daten verwenden.
Für vertrauliche oder frühe Erkenntnisse TLP:RED oder TLP:AMBER wählen.
Verteilung vor Veröffentlichung sorgfältig prüfen – einmal geteilte Daten lassen sich nicht zurückholen.
Bei Events mit gemischtem Inhalt (öffentlich + intern) Verteilung auf Attributebene nutzen.
Vorlagen oder Warnlisten einsetzen, um die korrekte Klassifizierung zu unterstützen.
Richtiges Teilen - mit Verantwortung
Dank der Verteilungslogik, Sharing-Gruppen und TLP-Integration bietet MISP alle nötigen Werkzeuge, um Threat Intelligence sicher, verantwortungsvoll und zielgerichtet zu teilen.
Bei Fragen zur Einrichtung von Sharing-Gruppen oder TLP-Workflows in goMISP steht der Support jederzeit bereit!
