Configurar como um evento automático é criado

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 9 min. de leitura

    • Configure o Now Platform para criar automaticamente eventos em MISP.

    Antes de Iniciar

    Procedimento

    1. Navegar até Tudo > Integração MISP > Perfis automáticos de criação de evento.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de nome
      Campo Descrição
      Nome Nome do perfil de criação automática de eventos.
      Descrição Breve descrição sobre o perfil. Uma descrição mais detalhada é compartilhada por meio dos atributos na próxima fase da criação do evento.
      Ordem Ordem do perfil quando as condições de acionamento são atendidas. O padrão é 100. Deixe esta configuração no padrão.

      Se você criar vários perfis, este valor fornecerá uma prioridade de execução em tempo de execução quando dois ou mais perfis compartilharem condições de acionamento. O perfil com o número mais baixo tem a prioridade mais alta.
      Origem MISP origem para a criação do evento.
      Ativo Opção que indica se o perfil está ativo ou inativo. A opção está desmarcada por padrão para indicar que o perfil está desativado.

      Este perfil não está ativo até que você conclua todas as etapas de configuração do perfil e clique em Concluir.
    4. Clique em “Continuar”.

    Configurar condições do gatilho de evento

    Configure as condições do gatilho de evento em Now Platform para que você possa acionar automaticamente um evento em MISP quando as condições forem atendidas.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário Condições do gatilho, preencha os detalhes que podem acionar um evento.
      Você pode criar uma lógica composta fornecendo as condições do gatilho que são baseadas em campos de incidente de segurança ou campos observáveis. Você também pode criar eventos em MISP se os observáveis não tiverem um evento correspondente em MISP. Você pode optar por criar uma lógica composta usando uma combinação das três condições de gatilho - Acionar com base em campos de incidente de segurança, Acionar com base em campos observáveis e Criar evento de MISP, se um observável não tiver eventos correspondentes no MISP. Se você selecionar vários gatilhos, poderá juntá-los usando a condição AND. Considere criar um perfil com novas condições se você precisar usar a condição OU.
      Tabela 2. Formulário Condições do gatilho de evento
      Campo Descrição
      Acionar com base nos campos de incidente de segurança MISP evento que você pode criar se todas as condições do gatilho de incidente de segurança forem atendidas.
      Condições do gatilho de incidente de segurança Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em AND ou OR. Se E for selecionado, todas as condições deverão ser atendidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.
      Acionar com base em campos observáveis MISP evento que você pode criar se todas as condições do gatilho observável forem atendidas.
      Condições do gatilho observáveis Filtros na primeira linha que você pode definir usando as listas e os campos do construtor de condições. Para adicionar mais condições, clique em AND ou OR. Se E for selecionado, todas as condições deverão ser atendidas. Se OU for selecionado, qualquer uma das condições poderá ser correspondida.

      Para definir uma segunda condição de filtro, clique em Novos critérios.
      Criar evento MISP se o observável não tiver eventos correspondentes no MISP MISP evento que você pode criar se um observável não tiver eventos correspondentes em MISP.
      Figura 1. Condições do gatilho de evento

      O exemplo a seguir mostra as condições do gatilho de evento conforme você configura o perfil de criação de eventos MISP.

      Configure condições baseadas em um evento criado no MISP.
    2. Clique em “Continuar”.

    Mapear os campos de evento MISP

    Mapeie os campos de evento MISP no Now Platform para que as informações do incidente de segurança estejam disponíveis quando os eventos MISP forem criados.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário, preencha os campos.
      Tabela 3. Formulário de mapeamento de campo de evento de MISP padrão
      Campo Descrição
      Informações do evento Informações de evento que são criadas automaticamente a partir de Now Platform Resposta a incidentes de segurança.

      O campo Informações do evento oferece suporte a variáveis de substituição usando $⁠{SIR FIELD LABEL}$. Durante a criação de um evento, essas variáveis são substituídas pelos valores reais do campo de incidente de segurança. A variável de substituição ${URL}$ é substituída pela URL do incidente de segurança.
      Distribuição Opção que controla quem pode exibir este evento depois que o evento é publicado. Esta opção também controla se o evento é sincronizado com outros servidores. A distribuição é herdada pelos atributos e a configuração mais restritiva vence. As opções de distribuição são as seguintes:
      • Somente sua organização: permite que somente membros da sua organização exibam este evento. O evento pode ser extraído para outra instância por um dos membros da sua organização, onde somente a sua organização pode ter acesso para exibi-lo. Eventos com esta configuração não são sincronizados.
      • Somente esta comunidade: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo sua própria organização, organizações neste servidor MISP e organizações que executam servidores MISP que são sincronizados com este servidor. Quaisquer outras organizações que se conectem aos seus servidores vinculados estão impedidas de exibir o evento.
      • Comunidades conectadas: permite que os usuários que fazem parte da sua comunidade MISP exibam o evento, incluindo todas as organizações neste servidor MISP, todas as organizações nos servidores MISP que são sincronizados com este servidor e as organizações de hospedagem de servidores que se conectam a qualquer servidor que está a dois saltos de distância. Quaisquer outras organizações conectadas aos servidores vinculados que estão a dois saltos de distância estão impedidas de exibir o evento.
      • Todas as comunidades: compartilha o evento com todas as MISP comunidades.
      Nível de ameaça Campo que indica o nível de risco do evento. Você pode categorizar os incidentes em três categorias de ameaça diferentes (baixa, média, alta). Este campo também pode ser deixado como indefinido. A seguir estão as opções:
      • Baixo: malware geral em massa
      • Médio: ameaças persistentes avançadas (APT)
      • Alto: APTs sofisticados e ataques de dia 0
      Status da análise Fase atual da análise do evento, com as seguintes opções possíveis:
      • Inicial: a análise está apenas começando
      • Em andamento: a análise está em andamento
      • Concluído: a análise está concluída
      O exemplo a seguir mostra o formulário que você pode usar para criar um evento no MISP.
      Figura 2. Mapeamento de campo de evento MISP padrão
      Configure o formulário para criar um novo evento no MISP.
    2. Clique em “Continuar”.

    Mapear ou associar SIR observáveis como atributos a MISP eventos

    Mapeie os tipos de observável Resposta a incidentes de segurança para os tipos de atributo MISP, porque os tipos de atributo MISP e os observáveis SIR podem ser diferentes.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Por Que e Quando Desempenhar Esta Tarefa

    O MISP integration for Security Operations fornece um mapeamento do sistema de base que você usa ao adicionar SIR observáveis como atributos a um evento MISP.

    Você pode optar por modificar o mapeamento do sistema de base para se adequar ao seu ambiente. Por exemplo, você pode mapear vários observáveis SIR para apenas um tipo de atributo MISP. Se algum tipo de observável não estiver mapeado, o outro MISP tipo de atributo será selecionado por padrão.

    Procedimento

    1. No formulário Opções adicionais, mapeie os tipos de atributo SIR e observável MISP.
    2. Mapeie os tipos de observável Resposta a incidentes de segurança para os tipos de atributo MISP, conforme descrito na tabela a seguir.
      Tabela 4. Mapeamento do observável de SIR e tipo de atributo do MISP
      Campo Descrição
      Adicionar todos os observáveis associados como atributos Opção que você habilita para adicionar observáveis disponíveis em um incidente de segurança a um evento MISP como atributos.

      Esta opção habilita o mapeamento na seção Tipo de observável para mapeamento de tipo de atributo.
      Tipo de observável para mapeamento de tipo de atributo Opção para mapear os tipos de observável SIR para os tipos de atributo MISP. Por exemplo, você pode mapear o número CVE em SIR para o atributo de vulnerabilidade em MISP.

      Você pode adicionar um tipo de observável SIR a apenas um tipo de atributo MISP.

      O sistema de base fornece um mapeamento dos tipos de observável SIR para os tipos de atributo MISP.

      Se algum tipo de observável SIR não estiver mapeado para um tipo de atributo MISP, o observável será mapeado para o outro tipo de atributo em MISP.

      Para adicionar um novo mapeamento, clique em Adicionar tipo de observável, pesquise o tipo de observável SIR e mapeie para o tipo de atributo MISP correspondente.

      Clique no ícone Remover mapeamento Remover mapeamento. para remover a associação de mapeamento de atributo SIR e MISP.

      Nota:
      Para obter mais informações sobre os tipos de atributo MISP, consulte a documentação do MISP.
      Filtrar observáveis com base em marcadores de segurança Opção para filtrar os observáveis com base nos marcadores de segurança selecionados.

      Marcadores de segurança: adicione marcadores para filtrar os observáveis. Por exemplo, se você estiver adicionando um marcador chamado "Bloquear contra compartilhamento" ou "TLP: branco", se um dos observáveis tiver algum desses marcadores associados, esses observáveis não serão adicionados como um atributo ao evento de MISP durante o MISP criação de eventos.
      Definir sinalizador de IDS de atributo quando a descoberta observável for mal-intencionada Opção que permite que você saiba que se um observável for marcado como mal-intencionado em SIR, o atributo correspondente em MISP terá o sinalizador de IDS habilitado. Se o sinalizador IDS não estiver definido, o atributo será considerado como informações contextuais e não será usado para detecção automática de intrusão.

      O exemplo a seguir mostra como navegar até a página de opções adicionais. Nesta página, você pode habilitar os observáveis SIR e o mapeamento de tipos de atributo MISP, adicionar novos tipos de observável SIR, como a rede IPV6 e a rede IPV4, e mapeá-los para o endereço IP de domínio do tipo de atributo MISP.

      Figura 3. Mapeamento de SIR observáveis e MISP tipos de atributo
      Mapear observável SIR e tipo de atributo MISP.

    Sincronizar MITRE-ATT&CK informações com MISP eventos

    Sincronize as informações MITRE-ATT&CK com os atributos MISP para obter uma melhor análise de ameaças e incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    No formulário Opções adicionais, revise as opções para sincronizar as informações MITRE-ATT&CK com os atributos MISP.
    Tabela 5. Formulário Opções avançadas
    Campo Descrição
    Sincronizar técnicas de incidente de segurança MITRE-ATT&CK™ como galáxias locais para o evento MISP Opção para sincronizar as técnicas Now Platform SIR de incidente de segurança MITRE-ATT&CK™ como galáxias locais no evento MISP.
    Nota:
    Para adicionar galáxias locais, o usuário que configurou a integração deve pertencer à organização host do servidor MISP correspondente.
    Sincronizar técnicas de incidente de segurança MITRE-ATT&CK™ como galáxias globais para o evento MISP Opção para sincronizar as técnicas Now Platform SIR de incidente de segurança MITRE-ATT&CK™ como galáxias globais no evento MISP.

    Resultado

    Você criou um perfil que permite criar automaticamente eventos em MISP a partir de Now Platform. Agora você pode exibir os eventos na lista relacionada Eventos de MISP associados.

    Adicionar marcadores de MISP a eventos

    Adicione marcadores de MISP aos eventos de MISP criados.

    Antes de Iniciar

    Função necessária: sn_sec_misp.write

    Procedimento

    1. No formulário Opções adicionais, navegue até Selecionar marcadores MISP para adicionar à seção de eventos na exibição do formulário.
    2. Revise as opções para adicionar marcadores aos eventos criados.
      Tabela 6. Formulário Opções avançadas
      Campo Descrição
      Adicionar marcadores ao evento MISP criado Opção que permite adicionar automaticamente marcadores de MISP aos eventos criados na ServiceNow.
      Marcadores (local) Os marcadores selecionados serão adicionados como marcadores locais ao evento MISP.
      Marcadores (global) Os marcadores selecionados serão adicionados como marcadores globais ao evento MISP.
    3. Clique em Salvar.

    Resultado

    Adicionar marcadores de MISP ajuda na classificação do evento.