El stack open source mas usado en CSIRTs europeos para gestion de threat intelligence y casos de incident response. MISP (TIP veterana) + OpenCTI (TIP moderna basada en knowledge graph) cubren la gestion de IOCs/TTPs/actors. TheHive (SIRP) gestiona casos de IR. STIX/TAXII es el formato + protocolo de interoperabilidad entre todas.

Los 4 productos se complementan: TheHive crea cases de incidentes, llama a Cortex (analyzers) para enriquecer con MISP (TIP), y exporta IOCs como STIX bundles via TAXII a partners. OpenCTI ofrece visualizacion knowledge-graph que MISP no tiene. La eleccion MISP vs OpenCTI depende de uso primario: MISP para sharing comunitario sectorial, OpenCTI para correlation visual e integraciones modernas con SIEMs.

Un junior debe saber instalar TheHive + Cortex + MISP en un lab para entender el flujo completo. Practicar: crear case en TheHive -> anadir observables -> llamar analyzer Cortex VirusTotal -> ver enriquecimiento -> exportar IOCs a MISP -> compartir en comunidad sectorial via TAXII. Sin tocarlos, leer la doctrina solo no es suficiente.

No incluye SIEMs (Splunk, Elastic, Sentinel) ni EDR/XDR (CrowdStrike, SentinelOne, Defender). Esos son layer de detection, no CTI/IR per se, pero el junior CTI moderno debe conocer su rol.