> MISP не про хранение
можете подробнее описать в чем проблема с хранением данных в MISP?
> очень ограниченно про сбор
Зависит от определения слова "сбор". Вы про какой сбор? Я про синхронизацию фидов и сохранение их в локальной базе, например. Добавление своих данных тоже не проблема, это основная функциональность.
> на нормальном стеке
Переписать на go? (: Видел ваши аналайзеры в репо thehive, по соседству с нашими.
> с вменяемой архитектурой
Александре — нормальный чел. Они принимают любые запросы и довольно отзывчивы. Посоветуйте им как оно должно быть на ваш взгляд, вполне вероятно запрос будет услышан. На мой взгляд лучше улучшать существующее, чем строить новое. Потому что это не только про техническое решение, но и про подход. Основное достижение ребят это евангелизация threat sharing, самой культуры. И их продукт на этой идее стоит, в первую очередь.
Полностью согласен про последний пункт, и уважаю труд ребят, но к сожалению, реально проще переписать все решение.
MISP становится крайне неповоротливым при попытке хранить в нем 10М+ индикаторов и постоянно вгружать новые. У нас данных по обогащениям и категоризациям по всем индикаторам в порядке миллиарда и, разумеется, Mysql вообще непредназначен для такого.
Быстрый лукап для проверки индикатора - это тоже не про MISP.
MISP можно использовать для алертинга по новым угрозам, для шеринга инцов и эпизодического импорта/экспорта эвентов, созданных в ручном или полуручном виде - из TheHive, например.