Verwalten von Ereignissen in MISP

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 11 Minuten Lesedauer

    • Sie können Ereignisse in MISP automatisch oder manuell über Now Platformerstellen. Sie können die Ereignisdaten in MISP auch über Now Platformbearbeiten.

    Automatisch erstellte Ereignisse in werden überprüft MISP

    Sie können die automatisch erstellten Ereignisse überprüfen, nachdem Sie das Ereigniserstellungsprofil in Ihrer Instanz Now Platform konfiguriert haben.

    Profil zur automatischen Ereigniserstellung

    Die Konfiguration des Profils für die automatische Ereigniserstellung erfolgt durch die Anwenderrollen sn_si.admin oder sn_ti.admin in MISP-Integration > Profile für die automatische Erstellung von Ereignissen Modul.

    Ereignisdaten MISP werden angezeigt

    Sie können die erstellten Ereignisse folgendermaßen anzeigen:

    • Zeigen Sie die Arbeitsnotizen für die erstellten Ereignisse an. Sie können die Ereignisdetails in der Instanz Now Platform und auch so anzeigen, wie sie auf dem Server MISP angezeigt werden (siehe folgendes Beispiel).
      Abbildung : 1. Arbeitsnotizen für erstellte Ereignisse
      Zeigen Sie die Arbeitsnotizen für erstellte Ereignisse an.
    • Klicken Sie auf die zugehörige Liste Zugeordnete MISP-Ereignisse. Hier können Sie das Ereignis in Bezug auf den Security Incident und die Ressourcen MISP anzeigen (siehe folgendes Beispiel).
      Abbildung : 2. Liste der zugeordneten Ereignisse
      Zeigen Sie die Liste der zugeordneten Ereignisse an
    • Zeigen Sie die MISP -Ereignisdaten in der Formularansicht an, um die detaillierten Informationen zu den MISP -Ereignissen zu überprüfen, wie im folgenden Beispiel gezeigt.
      Abbildung : 3. Ereignisdaten in der Formularansicht
      Zeigen Sie die Ereignisdaten in der Formularansicht an, um die detaillierten MISP-Ereignisinformationen anzuzeigen.

    Erstellen Sie manuell ein Ereignis in MISP

    Erstellen Sie manuell Ereignisse in MISP aus dem Now Platform, um kontextbezogene Informationen zu erfassen, die als Attribute und Objekte dargestellt werden.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie ein Ereignis erstellen möchten.
    3. Klicken Sie auf Ein neues Ereignis in MISP erstellen.
    4. Füllen Sie im Dialogfeld „Neues Event in MISP erstellen“ die Details aus.
      Tabelle : 1. Erstellen Sie ein Ereignis im Dialogfeld „MISP“.
      Feld Beschreibung
      Datum Erstellungsdatum des Ereignisses in MISP.
      Information zum Ereignis Ereignisinformationen, die automatisch aus dem Now Platform Security Incident Responseerstellt werden.
      Bedrohungsstufe Risikostufe des Ereignisses. Sie können die Incidents in drei verschiedene Bedrohungskategorien (niedrig, mittel, hoch) einteilen. Dieses Feld kann auch als undefiniert belassen werden. Die folgenden Optionen stehen zur Verfügung:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgereifte APTs und 0-Tage-Angriffe
      Quelle MISP Quelle für die Ereigniserstellung.
      Verteilung Option, die steuert, wer dieses Ereignis anzeigen kann, nachdem das Ereignis veröffentlicht wurde. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt. Die restriktivste Einstellung gewinnen. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur den Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz verschoben werden, auf die nur Ihre Organisation zugreifen kann. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Ermöglicht Anwendern, die Teil Ihrer MISP -Community sind, einschließlich Ihrer eigenen Organisation, von Organisationen auf diesem MISP -Server und von Organisationen, die MISP -Server ausführen, die mit diesem Server synchronisiert werden, das Ereignis anzuzeigen. Alle anderen Organisationen, die mit Verbindungsservern verbunden sind, können das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwendern, die Teil Ihrer Community MISP sind, das Ereignis anzuzeigen, einschließlich aller Organisationen auf diesem Server MISP, aller Organisationen auf Servern von MISP, die mit diesem Server synchronisiert werden, und der Hosting-Organisationen von Servern, die eine Verbindung zu einem beliebigen Server herstellen das ist zwei Hops entfernt. Alle anderen Organisationen, die mit den Verbindungsservern verbunden sind und zwei Hops von diesem Server entfernt sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Gibt das Ereignis für alle MISP -Communitys frei.
      Analyse Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Erweiterte Optionen Alle SIR-zugeordneten erkennbaren Elemente als Attribute zum MISP-Ereignis hinzufügen Option zum Hinzufügen verfügbarer erkennbarer Elemente in einem Security Incident zu einem MISP -Ereignis als Attribute.

      Mit dieser Option wird die Option „ Attribut-IDS-Kennzeichnung festlegen, wenn erkennbares Element schädlich ist “ aktiviert.
      Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Erkennbares Element, das in SIRals schädlich markiert ist. Das entsprechende Attribut in MISP ist ebenfalls als „true“ gekennzeichnet.
      Filtern Sie erkennbare Elemente basierend auf Sicherheits-Tags Option zum Filtern der erkennbaren Elemente basierend auf den ausgewählten Sicherheits-Tags. Mit dieser Option können Sie die MISP-Ereignisse in Threat Intelligence unterscheiden und verwalten.

      Sicherheits-Tags: Fügen Sie Tags hinzu, um die erkennbaren Elemente zu filtern. Wenn Sie beispielsweise ein Tag mit der Bezeichnung „Freigabe blockieren“ oder „TLP: White“ hinzufügen, werden diese erkennbaren Elemente, wenn eines der erkennbaren Elemente mit einem dieser Tags verknüpft ist, dem MISP-Ereignis während des MISP nicht als Attribut hinzugefügt Ereigniserstellung.
      Synchronisieren Sie MITRE ATT&CK-Techniken des Security Incident als lokale Galaxien im MISP-Ereignis Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als lokale Galaxien im Ereignis MISP.
      MITRE ATT&CK-Techniken des Security Incident als globale Galaxien im MISP-Ereignis synchronisieren Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als globale Galaxien im Ereignis MISP.
      Fügen Sie dem MISP-Ereignis Tags hinzu Option, mit der Sie den in ServiceNow erstellten Ereignissen MISP-Tags hinzufügen können. Diese Option zeigt die folgenden Optionen an:
      • Lokal (Tags):Die ausgewählten Tags werden dem MISP-Ereignis als lokale Tags hinzugefügt.
      • Global (Tags):Die ausgewählten Tags werden dem MISP-Ereignis als globale Tags hinzugefügt.
    5. Klicken Sie auf Neues MISP-Ereignis erstellen.

      Das folgende Beispiel zeigt, dass Sie durch das Erstellen eines Ereignisses in MISPdie Ergebnisse im Security Incident anzeigen können. Sie können auch die Arbeitsnotizen, das Ereignis in der Instanz Now Platform und das Ereignis auf dem Server MISP anzeigen (siehe folgendes Beispiel).

      Abbildung : 4. Erstellen Sie manuell ein Ereignis in MISP über die Now Platform
      Erstellen Sie manuell ein Ereignis in MISP über die Now Platform.
      Sie können die Ergebnisse auf folgende Weise anzeigen:
      • Oben auf der Seite des Security Incidents wird eine Erfolgsmeldung angezeigt. Sie können die Ereignisdetails in der Instanz Now Platform und auch auf dem Server MISP anzeigen.
      • In den Arbeitsnotizen können Sie die Erfolgsmeldung mit weiteren Details anzeigen. Sie können die Ereignisdetails auch in der Instanz Now Platform und auf dem Server MISP anzeigen.
      • In der zugehörigen Liste „Zugeordnete MISP-Ereignisse “ können Sie das Ereignis in Bezug auf den Security Incident und die Ressourcen MISP anzeigen.

    Fügen Sie einem Ereignis MISP Attribute hinzu

    Fügen Sie einem Ereignis Attribute hinzu, z. B. den Typ, die Kategorie und andere kontextbezogene Informationen zum Ereignis.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > MISP > Zugeordnete MISP-Ereignissean.
      Sie können auch in jedem Security Incident zur zugehörigen Liste Zugeordnetes MISP-Ereignis navigieren.
    2. Klicken Sie auf das MISP-Ereignis, für das Sie ein Attribut hinzufügen möchten.
    3. Klicken Sie auf Attribut zu MISP-Ereignis hinzufügen.
    4. Füllen Sie im Dialogfeld „Attribute zu Ereignis hinzufügen“ die Details aus.
      Tabelle : 2. Dialogfeld „Attribut zu Ereignis hinzufügen“.
      Feld Beschreibung
      Wert Ist-Wert des Attributs. Geben Sie Daten zum Wert ein, die darauf basieren, was für den ausgewählten Attributtyp gültig ist. Für ein Attribut vom Typ ip-src (Quell-IP-Adresse) ist beispielsweise 11.11.11.11 ein gültiger Wert.
      Hinweis:
      Sie können nur Attribute oder erkennbare Elemente auswählen, die den Kontext mit dem Ereignis gemeinsam nutzen. Die erkennbaren Elemente dürfen nicht bereits ein Attribut in MISPhaben.
      Kategorie Kategorie des Attributs. Die Kategorie beschreibt den Aspekt der Malware für dieses Attribut. Ein Beispiel wären die Persistenzmechanismen der Malware oder Netzwerkaktivität.
      Typ Typ, der die Kategorie erklärt. Wenn ein Angreifer beispielsweise eine IP-Adresse für einen Angriff verwendet, kann eine Quell-E-Mail-Adresse oder eine über einen Anhang gesendete Datei die Nutzlastbereitstellung einer Malware beschreiben. Diese Arten von Attributen gehören zur Kategorie der Nutzlastbereitstellung.
      Verteilung Anwender, die dieses Attribut anzeigen können. Die Verteilung wird von Attributen geerbt. Die restriktivste Einstellung gewinnen.
      Attribut als IDS-Signatur verwenden Erkennbares Element, das in SIRals schädlich markiert ist. Das entsprechende Attribut in MISP ist ebenfalls als „true“ gekennzeichnet.
      Kommentare Kommentare, die Sie für die Attribute hinzufügen.

      Das folgende Beispiel zeigt, dass Sie durch Navigieren von der Liste Zugeordnete MISP-Ereignisse den Ereignisdatensatz 5627 anzeigen und dem Ereignis Attribute hinzufügen können. Die Attribute umfassen den Wert (testdomain.com), die Kategorie als externe Analyse und den Typ als Domäne. Sie können auch IDS aktivieren. Die Erfolgsmeldung im Ereignisdatensatz zeigt, dass das Attribut dem Ereignis hinzugefügt wird (siehe folgendes Beispiel).

      Abbildung : 5. Fügen Sie einem MISP-Ereignis ein Attribut hinzu
      Einem MISP-Ereignis wird ein Attribut hinzugefügt.
    5. Klicken Sie auf Attribut zu MISP-Ereignis hinzufügen.

    Ergebnisse

    Sie können das hinzugefügte Attribut im Abschnitt Attribute anzeigen.

    Fügen Sie einem Ereignis MISP Tags hinzu

    Fügen Sie Tags in Now Platform MISP hinzu, um Ereignisse oder Attribute zu klassifizieren. Sie können Tagging global verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn MISP -Ereignisse während der Klassifizierung nicht geändert werden sollen.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen zur Verwendung der bidirektionalen MISP -Funktionen.
    • Stellen Sie sicher, dass das Ereignis, das Sie bearbeiten, zu derselben Organisation gehört wie der Benutzer MISP.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf der Quelle MISP und ihren Verteilungsberechtigungen basieren.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, der das Ereignis enthält, für das Sie Tags hinzufügen möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die zugehörige Liste MISP-Ergänzungsergebnisse.
    4. Klicken Sie in der Liste der Ergänzungsergebnisse auf die Ereignis-ID.
      Sie können auch von navigieren MISP > Zugeordnete MISP-Ereignisse Modul.
    5. Überprüfen Sie den MISP-Ereignisdatensatz.
      Tabelle : 3. Formularansicht „MISP-Ereignis“.
      Feld Beschreibung
      Ereignis-ID Ereignis-ID, die von MISP zugewiesen wird, wenn das Ereignis zum ersten Mal auf dem Server MISP erstellt oder importiert wurde.
      UUID ID, die Ereignisse und Attribute eindeutig identifiziert.
      Erstellerorganisation Organisation, die das Ereignis in der Instanz MISP erstellt hat.
      Besitzerorganisation Organisation, die das Ereignis in der Instanz MISP besitzt. Dieses Feld ist nur für Administratoren sichtbar.
      Erstelleranwender Anwender, der das Ereignis in MISPerstellt hat.
      Letzter Change Datum, an dem das Ereignis zuletzt geändert wurde.
      MISP-Quelle MISP Quelle, in der das Ereignis erstellt wird.
      Erstellungsdatum (in MISP) Datum, an dem das Ereignis erstellt oder zuerst auf den Server MISP importiert wurde.
      Bedrohungsstufe Risikostufe des Ereignisses. Incidents können in drei verschiedene Bedrohungskategorien (niedrig, mittel, hoch) eingeteilt werden. Dieses Feld kann als nicht definiert gelassen werden. Die folgenden Optionen stehen zur Verfügung:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgereifte APTs und 0-Tage-Angriffe
      Analyse Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Verteilung Verteilung des einzelnen Attributs. Ein Attribut kann eine andere Verteilungsebene haben als das Ereignis.
      Veröffentlicht Status, ob das Ereignis veröffentlicht wurde oder nicht. Durch die Veröffentlichung können die Attribute des Ereignisses für alle berechtigten Exporte verwendet werden, und es werden Anwender benachrichtigt, die die Ereigniswarnungen abonniert haben.
      MISP-Ereignis-Hyperlink Link zum Ereignis MISP, das auf dem Server MISP gespeichert ist.
      Info Kurze Beschreibung des Ereignisses.
      Tags (lokal) Tags, die in der Instanz MISP der Hostorganisation verfügbar sind, um Tagging für die Synchronisierungs- und Exportfilterung zu aktivieren. MISP Ereignisse werden nicht geändert, wenn Sie lokale Tags verwenden. Lokale Tags werden vor der Synchronisierung mit anderen MISP -Instanzen und Freigabe-Communitys immer entfernt.
      Tags (global) Tags, die global für die Freigabe und Synchronisierung mit anderen MISP -Instanzen und Freigabe-Communities verfügbar sind. Wenn Sie Instanzen MISP globale Tags hinzufügen, können Sie Ereignisse ändern.
      Galaxien (lokal) Galaxien, die in der Instanz MISP der Hostorganisation für die Synchronisierung und Exportfilterung verfügbar sind. MISP Ereignisse werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese lokalen Galaxien werden immer entfernt, bevor sie mit anderen MISP -Instanzen und Freigabe-Communitys synchronisiert werden.
      Galaxien (global) Galaxien, die global für die Freigabe und Synchronisierung mit anderen MISP -Instanzen und Freigabe-Communitys verfügbar sind. Wenn Sie globale Galaxien hinzufügen, MISP, können Sie Ereignisse ändern.
    6. Um ein lokales oder globales Tag zu bearbeiten, klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld „MISP-Ereignis-Tags“ den Tag-Namen ein, um die Tags zu suchen und hinzuzufügen.
    2. Klicken Sie auf Tags auf MISP-Ereignis aktualisieren.

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen und hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsmeldung zeigt, dass alle Tags in MISPaktualisiert wurden.

      Abbildung : 6. Tags werden für MISP-Ereignis aktualisiert
      Tags werden für ein MISP-Ereignis aktualisiert.
    3. Klicken Sie in der Erfolgsmeldung auf Formular neu laden, um die Änderungen im Datensatz anzuzeigen.

    Ergebnisse

    Die Tags wurden auf dem Server MISP erfolgreich aktualisiert.

    Aktualisiert Galaxien auf ein MISP -Ereignis oder -Attribut

    Fügen Sie Galaxien in Now Platform MISP hinzu, oder entfernen Sie sie, damit Sie diese Objekte als Cluster in der Instanz MISP klassifizieren und an MISP Ereignisse oder Attribute anhängen können.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen ist für die Verwendung der bidirektionalen MISP -Funktionen erforderlich.
    • Um lokale Galaxien hinzuzufügen, muss der Benutzer, der die Integration konfiguriert hat, zur Hostorganisation des entsprechenden Servers MISP gehören.
    • Die Ihnen zur Verfügung stehenden Tags und Galaxien basieren auf der Quelle MISP und ihren Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Geben Sie im Dialogfeld „MISP-Ereignis-Galaxien“ Text ein, und suchen Sie, um die Tags hinzuzufügen.
    2. Klicken Sie auf Galaxien auf MISP-Ereignis aktualisieren.

      Das folgende Beispiel zeigt, wie Sie auf das Bearbeitungssymbol für die lokalen Galaxien klicken, den veralteten Namespace auswählen, die Galaxie „Enterprise Attack – Angriffsmuster“ auswählen und Clusterinformationen hinzufügen. Nachdem die Galaxie-Informationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

      Abbildung : 7. Aktualisiert die Galaxie-Informationen im MISP-Ereignis
      Galaxie-Informationen werden für MISP-Ereignis aktualisiert.
      Die Galaxien wurden auf dem Server MISP erfolgreich aktualisiert.
    3. Klicken Sie in der Erfolgsmeldung auf Formular neu laden, um die Änderungen im Datensatz anzuzeigen.