Konfigurieren Sie, wie ein automatisches Event erstellt wird

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Konfigurieren Sie Now Platform so, dass automatisch Ereignisse in MISPerstellt werden.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > MISP-Integration > Profile für die automatische Erstellung von Ereignissen.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Namensformular
      Feld Beschreibung
      Name Name des Profils zur automatischen Ereigniserstellung.
      Beschreibung Kurze Beschreibung des Profils. Eine detailliertere Beschreibung wird durch die Attribute in der nächsten Phase der Ereigniserstellung geteilt.
      Bestellung Reihenfolge des Profils, wenn Auslösebedingungen erfüllt sind. Der Standardwert ist 100. Belassen Sie diese Einstellung auf dem Standard.

      Wenn Sie mehrere Profile erstellen, bietet dieser Wert eine Laufzeit-Ausführungspriorität, wenn zwei oder mehr Profile auslösende Bedingungen gemeinsam nutzen. Das Profil mit der niedrigsten Nummer hat die höchste Priorität.
      Quelle MISP Quelle für die Ereigniserstellung.
      Aktiv Option, die angibt, ob das Profil aktiv oder inaktiv ist. Standardmäßig ist die Option deaktiviert, um anzuzeigen, dass das Profil deaktiviert ist.

      Dieses Profil ist erst aktiv, wenn Sie alle Profilkonfigurationsschritte abgeschlossen haben und auf „Fertigstellen“klicken.
    4. Klicken Sie auf Fortsetzen.

    Konfigurieren Sie Bedingungen für die Auslösung von Ereignissen

    Konfigurieren Sie die Auslösebedingungen für Ereignisse in Now Platform, damit Sie automatisch ein Ereignis in MISP auslösen können, wenn die Bedingungen erfüllt sind.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Füllen Sie im Formular „Auslösebedingungen“ die Details aus, die ein Ereignis auslösen können.
      Sie können eine zusammengesetzte Logik erstellen, indem Sie die Auslöserbedingungen angeben, die auf Feldern für Security Incidents oder erkennbaren Elementen basieren. Sie können auch Ereignisse in MISP erstellen, wenn erkennbare Elemente kein entsprechendes Ereignis in MISPhaben. Sie können eine zusammengesetzte Logik erstellen, indem Sie eine Kombination der drei Auslöserbedingungen verwenden – Auslöser basierend auf Feldern von Security Incidents, Auslöser basierend auf Feldern erkennbarer Elemente und MISP-Ereignis erstellen, wenn ein erkennbares Element keine entsprechenden Ereignisse in MISP enthält. Wenn Sie mehrere Auslöser auswählen, können Sie sie mithilfe der UND-Bedingung verbinden. Erwägen Sie das Erstellen eines Profils mit neuen Bedingungen, wenn Sie die ODER-Bedingung verwenden müssen.
      Tabelle : 2. Formular „Ereignisauslösebedingungen“.
      Feld Beschreibung
      Auslöser basierend auf Security Incident-Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslösebedingungen für Security Incidents erfüllt sind.
      Auslösebedingungen für Security Incident Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf AND oder OR. Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.
      Auslöser basierend auf erkennbaren Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslöserbedingungen für erkennbare Elemente erfüllt sind.
      Auslösebedingungen für erkennbare Elemente Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf AND oder OR. Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden.

      Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.
      Erstellen Sie ein MISP-Ereignis, wenn das erkennbare Element keine entsprechenden Ereignisse in MISP enthält. MISP Ereignis, das Sie erstellen können, wenn ein erkennbares Element keine entsprechenden Ereignisse in MISPhat.
      Abbildung : 1. Auslösebedingungen für Ereignisse

      Das folgende Beispiel zeigt die Bedingungen für den Auslöser des Ereignisses beim Einrichten des Profils MISP zur Erstellung des Ereignisses.

      Konfigurieren Sie Bedingungen, die auf einem in MISP erstellten Ereignis basieren.
    2. Klicken Sie auf Fortsetzen.

    Ordnen Sie die Ereignisfelder MISP zu

    Ordnen Sie die Ereignisfelder MISP in Now Platform zu, damit Informationen zu Security Incidents verfügbar sind, wenn Ereignisse MISP vom Typ erstellt werden.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Füllen Sie die Felder des Formulars aus.
      Tabelle : 3. Standardmäßiges Feldzuordnungsformular für MISP-Ereignis
      Feld Beschreibung
      Information zum Ereignis Ereignisinformationen, die automatisch aus dem Now Platform Security Incident Responseerstellt werden.

      Das Feld „Ereignisinformationen“ unterstützt Substitutionsvariablen durch Verwendung von $⁠{SIR FIELD LABEL}$. Während der Erstellung eines Ereignisses werden diese Variablen durch die tatsächlichen Feldwerte des Security Incidents ersetzt. Die Substitutionsvariable ${URL}$ wird durch die URL des Security Incident ersetzt.
      Verteilung Option, die steuert, wer dieses Ereignis anzeigen kann, nachdem das Ereignis veröffentlicht wurde. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung gewinnen. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz verschoben werden, in der nur Ihre Organisation darauf zugreifen kann. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Ermöglicht Anwendern, die Teil Ihrer MISP -Community sind, einschließlich Ihrer eigenen Organisation, von Organisationen auf diesem MISP -Server und von Organisationen, die MISP -Server ausführen, die mit diesem Server synchronisiert werden, das Ereignis anzuzeigen. Alle anderen Organisationen, die eine Verbindung zu Ihren Verbindungsservern herstellen, können das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwendern, die Teil Ihrer Community MISP sind, das Ereignis anzuzeigen, einschließlich aller Organisationen auf diesem Server MISP, aller Organisationen auf den Servern MISP, die mit diesem Server synchronisiert werden, und der Hosting-Organisationen von Servern, die eine Verbindung zu einem beliebigen Server herstellen das ist zwei Hops entfernt. Alle anderen Organisationen, die mit den zwei Hops entfernten Verbindungsservern verbunden sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Gibt das Ereignis für alle MISP -Communitys frei.
      Bedrohungsstufe Feld, das die Risikostufe des Ereignisses angibt. Sie können Incidents in drei verschiedene Bedrohungskategorien (niedrig, mittel, hoch) einteilen. Dieses Feld kann auch als undefiniert belassen werden. Die folgenden Optionen stehen zur Verfügung:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgereifte APTs und 0-Tage-Angriffe
      Analysestatus Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade erst
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Das folgende Beispiel zeigt das Formular, mit dem Sie ein Ereignis in MISP erstellen können.
      Abbildung : 2. Standardmäßige MISP-Ereignisfeldzuordnung
      Konfigurieren Sie das Formular, um ein neues Ereignis in MISP zu erstellen.
    2. Klicken Sie auf Fortsetzen.

    Ordnen Sie SIR erkennbare Elemente als Attribute zu MISP -Ereignissen zu oder ordnen Sie sie zu

    Ordnen Sie die erkennbaren Elemente Security Incident Response den Attributtypen MISP zu, da die Attributtypen MISP und die erkennbaren Elemente SIR unterschiedlich sein können.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Warum und wann dieser Vorgang ausgeführt wird

    MISP integration for Security Operations stellt eine Basissystemzuordnung bereit, die Sie verwenden, wenn Sie erkennbare Elemente SIR als Attribute zu einem Ereignis MISP hinzufügen.

    Sie können die Basissystemzuordnung an Ihre Umgebung anpassen. Beispielsweise können Sie mehrere SIR erkennbare Elemente nur einem MISP Attributtyp zuordnen. Wenn keine erkennbaren Typen zugeordnet sind, wird standardmäßig der andere MISP Attributtyp ausgewählt.

    Prozedur

    1. Ordnen Sie im Formular „Zusätzliche Optionen“ die Attributtypen SIR erkennbares Element und MISP zu.
    2. Ordnen Sie die erkennbaren Elementtypen Security Incident Response den Attributtypen MISP zu, wie in der folgenden Tabelle beschrieben.
      Tabelle : 4. Zuordnung von erkennbarem SIR- und MISP-Attributtyp
      Feld Beschreibung
      Alle zugehörigen erkennbaren Elemente als Attribute hinzufügen Option zum Hinzufügen verfügbarer erkennbarer Elemente in einem Security Incident zu einem MISP -Ereignis als Attribute.

      Diese Option aktiviert die Zuordnung im Abschnitt „Zuordnung von erkennbarem Elementtyp zu Attributtyp“.
      Zuordnung erkennbarer Elemente zu Attributtyp Option zum Zuordnen der erkennbaren Elemente SIR zu den Attributtypen MISP. Sie können beispielsweise die CVE-Nummer in SIR dem Schwachstellenattribut in MISPzuordnen.

      Sie können einen erkennbaren Elementtyp SIR nur einem einzigen MISP -Attributtyp hinzufügen.

      Das Basissystem bietet eine Zuordnung der erkennbaren Elemente SIR zu den Attributtypen MISP.

      Wenn erkennbare SIR -Typen keinem Attributtyp MISP zugeordnet sind, wird das erkennbare Element dem anderen Attributtyp in MISPzugeordnet.

      Um eine neue Zuordnung hinzuzufügen, klicken Sie auf Add Observable Type (Erkennbaren Typ hinzufügen), suchen Sie nach dem erkennbaren Elementtyp SIR, und ordnen Sie ihn dann dem entsprechenden Attributtyp MISP zu.

      Klicken Sie auf das Symbol Zuordnung entfernen Zuordnung entfernen. um die Zuordnung der Attributzuordnung SIR und MISP zu entfernen.

      Hinweis:
      Weitere Informationen zu Attributtypen MISP finden Sie in der MISP-Dokumentation.
      Erkennbare Elemente anhand von Sicherheits-Tags filtern Option zum Filtern der erkennbaren Elemente basierend auf den ausgewählten Sicherheits-Tags.

      Sicherheits-Tags: Fügen Sie Tags hinzu, um die erkennbaren Elemente zu filtern. Wenn Sie beispielsweise ein Tag mit der Bezeichnung „Freigabe blockieren“ oder „TLP: White“ hinzufügen, werden diese erkennbaren Elemente, wenn eines der erkennbaren Elemente mit einem dieser Tags verknüpft ist, dem MISP-Ereignis während des MISP nicht als Attribut hinzugefügt Ereigniserstellung.
      Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Option, die Sie darüber informiert, dass, wenn ein erkennbares Element in SIRals schädlich markiert ist, für das entsprechende Attribut in MISP die IDS-Kennzeichnung aktiviert ist. Wenn die IDS-Kennzeichnung nicht festgelegt ist, gilt das Attribut als kontextbezogene Information und wird nicht für die automatische Angriffserkennung verwendet.

      Das folgende Beispiel zeigt, wie Sie zur Seite mit zusätzlichen Optionen navigieren. Auf dieser Seite können Sie die Zuordnung von erkennbaren SIR-Elementen und MISP-Attributtypen aktivieren, neue erkennbare Elementtypen SIR hinzufügen, z. B. das IPV6-Netzwerk und das IPV4-Netzwerk, und sie der Domänen-IP-Adresse des Attributtyps MISP zuordnen.

      Abbildung : 3. Zuordnung von SIR erkennbaren Elementen und MISP Attributtypen
      Ordnen Sie das erkennbare SIR-Element und den MISP-Attributtyp zu.

    Synchronisieren Sie MITRE-ATT&CK -Informationen mit MISP -Ereignissen

    Synchronisieren Sie die MITRE-ATT&CK -Informationen mit MISP den -Attributen, um Security Incidents und Bedrohungsanalysen zu verbessern.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    Überprüfen Sie im Formular „Zusätzliche Optionen“ die Optionen zum Synchronisieren der MITRE-ATT&CK -Informationen mit den MISP -Attributen.
    Tabelle : 5. Formular „Erweiterte Optionen“
    Feld Beschreibung
    Techniken des Security Incident MITRE-ATT&CK™ als lokale Galaxien im Ereignis MISP synchronisieren Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als lokale Galaxien im Ereignis MISP.
    Hinweis:
    Um lokale Galaxien hinzuzufügen, muss der Benutzer, der die Integration konfiguriert hat, zur Hostorganisation des entsprechenden Servers MISP gehören.
    Techniken des Security Incident MITRE-ATT&CK™ als globale Galaxien im Ereignis MISP synchronisieren Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als globale Galaxien im Ereignis MISP.

    Ergebnisse

    Sie haben ein Profil erstellt, mit dem Sie automatisch Ereignisse in MISP über Now Platformerstellen können. Sie können jetzt die Ereignisse in der zugehörigen Liste „Zugeordnete MISP-Ereignisse“ anzeigen.

    Fügen Sie Ereignissen MISP-Tags hinzu

    Fügen Sie den erstellten MISP-Ereignissen MISP-Tags hinzu.

    Vorbereitungen

    Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren Sie im Formular „Zusätzliche Optionen“ zu MISP-Tags auswählen, die dem Ereignisabschnitt in der Formularansicht hinzugefügt werden sollen.
    2. Überprüfen Sie die Optionen zum Hinzufügen von Tags zu den erstellten Ereignissen.
      Tabelle : 6. Formular „Erweiterte Optionen“
      Feld Beschreibung
      Erstelltem MISP-Ereignis Tags hinzufügen Option zum automatischen Hinzufügen von MISP-Tags zu Ereignissen, die in ServiceNow erstellt werden.
      Tags (lokal) Die ausgewählten Tags werden dem MISP-Ereignis als lokale Tags hinzugefügt.
      Tags (global) Die ausgewählten Tags werden dem MISP-Ereignis als globale Tags hinzugefügt.
    3. Klicken Sie auf Speichern.

    Ergebnisse

    Das Hinzufügen von MISP-Tags hilft bei der Klassifizierung des Ereignisses.