Sichtungssuchen in MISP

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer

    • Sie können Sichtungssuchen für erkennbare Elemente in der Instanz MISP durchführen, um zu bestimmen, wie häufig bestimmte Arten von Angriffen, z. B. Phishing-Angriffe oder Kommunikation mit einer schädlichen IP oder URL, in Ihrem Netzwerk auftreten. Jedes Auftreten gilt als Sichtung.

    Sichtungen in MISP

    Sichtungen geben an, dass ein Indikator, ein Objekt oder ein Attribut gesehen wurde und dessen Gültigkeit bestätigt wird. Sichtungen in MISP sind ein System, mit dem Sie auf Attribute für ein Ereignis reagieren können. Es soll Ihren Anwendern eine einfache Methode bieten, um zu bestätigen, dass sie ein bestimmtes Attribut gesehen haben, wodurch es glaubwürdiger wird. Sie können ein Attribut mehrmals sichten.
    Hinweis:
    Erkennbare Elemente werden in MISP als Attribute bezeichnet.

    Einige Attribute werden als falsch positiv betrachtet, was bedeutet, dass sie keine gültigen Sichtungen sind. Andere Attribute sind nur für eine bestimmte Dauer gültig, z. B. eine Phishing-Kampagne, die nur eine Woche lang ausgeführt wird. Sie können den Attributen, die für eine bestimmte Dauer gültig sind, ein Ablaufdatum zuweisen, aber jede Organisation kann einem Attribut nur ein gültiges Ablaufdatum zuweisen.

    Sichtungen, die in MISP von Benutzern von Organisationen erstellt werden, die auf dem entsprechenden MISP-Server als lokal gekennzeichnet sind, werden als interne Sichtungen bezeichnet. Sichtungen, die in MISP von Benutzern von Organisationen erstellt werden, die auf dem entsprechenden Server MISP als Remote markiert sind, werden als externe Sichtungen bezeichnet.

    Sichtungssuchen in SIR

    Der Workflow „Security Operations Integration - Sichtungssuche“ führt die Sichtungssuche aus. Dieser Flow akzeptiert eine Liste von erkennbaren Elementen, findet implementierte Fähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchen aus, die auf dem konfigurierten Flow basieren.

    Sichtungssuchen helfen Analysten, die Verbreitung einer Bedrohung im Zeitverlauf zu bestimmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Ergebnisse sind in den zugehörigen Listen Security Incident Sichtungen, Sichtungssuchergebnisseund Sichtungssuchdetails enthalten.

    Wenn Sie mit der Analyse eines Incidents beginnen, können Sie Now Platform so einrichten, dass automatisch eine Sichtungssuche oder manuell eine Sichtungssuche nach erkennbaren Elementen durchgeführt wird, um andere Anwender in Ihrer Organisation zu identifizieren, die von demselben Phishing-Angriff betroffen sind.

    Aktivieren Sie die automatische Sichtungssuche in MISP

    Aktivieren Sie die automatische Ausführung der Sichtungssuche in MISP, damit der Workflow „Security Operations Integration – Sichtungssuche“ ausgelöst wird, wenn neue erkennbare Elemente einem Security Incident zugeordnet werden.

    Vorbereitungen

    Stellen Sie sicher, dass Konfigurationsprofil für die Sichtungssuche für MISP ist aktiv.

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie die Sichtungssuchfunktion zur automatischen Ausführung in der MISP Integrationskonfigurationwird die Sichtungssuche in MISP ausgelöst, wenn einem Security Incident neue erkennbare Elemente zugeordnet werden. Standardmäßig ist die Option Sichtungssuche automatisch ausführen, wenn dem Security Incident neue erkennbare Elemente zugeordnet werden aktiviert.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, die Sie in den Sichtungssuchdaten MISP anzeigen möchten.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.
      Eine Arbeitsnotiz wird veröffentlicht, wenn der Workflow „Security Operations Integration – Sichtungssuche“ ausgelöst wurde.

      Das folgende Beispiel zeigt den Abschnitt „Arbeitsnotizen“.

      Zeigen Sie die Arbeitsnotizen an, und überprüfen Sie, ob der Workflow für die Sichtungssuche ausgelöst wurde.
    4. Zeigen Sie die aggregierten Informationen von erkennbaren Elementen an, die für alle Ereignisse (global) sichtbar und nach ihrer internen oder externen Sichtung kategorisiert sind, nachdem die Workflow-Ausführung abgeschlossen wurde.
      Zeigen Sie die Informationen in den zugehörigen Listen Sichtungen, Sichtungssuchergebnisse und Sichtungssuchdetails an. Das folgende Beispiel zeigt den Sichtungssuchdatensatz, der in der zugehörigen Liste Sichtungen erstellt wurde.
      Zeigen Sie den Datensatz „Sichtungssuche“ an, der auf der Registerkarte „Sichtungen“ erstellt wurde.
      Tabelle : 1. Sichtungssuche-Datensatz
      Feld Beschreibung
      Erstellt Datum und Uhrzeit der Erstellung des Datensatzes für die Sichtungssuche.
      Erkennbares Element Erkennbares Element, nach dem von der Abfrage gesucht wird.
      Sichtungsanzahl Anzahl der internen und externen Sichtungen.
      Quelle Quelle des erkennbaren Elements. Wenn das erkennbare Element aus einer Organisation MISP stammt, werden dem Datensatz die Wörter MISPvorangestellt.
      Ist lokal Status, der angibt, ob die Sichtung von einem internen Anwender gemeldet wurde.
      Sichtungssuchlink Sichtungssuchlink in der Instanz MISP.
      Zusammenfassung Typ der Sichtungen, die dem Datensatz zugeordnet sind. Die drei Arten von Sichtungen sind „Sichtung“, „Falsch positiv“ und „Ablauf“.

      Die Spalte „Zusammenfassung“ wird nur angezeigt, wenn MISP integration for Security Operations installiert ist. Wenn andere Quellen als MISP angezeigt werden, ist der Spalteneintrag „Zusammenfassung“ für diesen Datensatz leer.

    Führen Sie eine manuelle Sichtungssuche in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in der Anwendung Now Platform MISP integration for Security Operations durch, um die Verbreitung einer Bedrohung im Zeitverlauf zu bestimmen.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, nach denen Sie die Sichtungssuche MISP ausführen möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte Zugeordnete erkennbare Elemente.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie dann im Menü Aktionen auf Sichtungssuche ausführen.
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld „Sichtungssuche ausführen“ wird geöffnet.
    5. Geben Sie den Datumsbereich für die Suche nach Sichtungssuchdaten an.
      Tabelle : 2. Dialogfeld „Sichtungssuche ausführen“.
      Feld Beschreibung
      Letzter Anzahl der Stunden oder Tage vor der Erstellung des zu durchsuchenden Incidents.

      Der Standardwert ist 7 Tage. Das Limit beträgt 99 Stunden oder Tage.
      zwischen Datumsbereich für die Suche. Standarddaten sind wie folgt:
      • Datum und Uhrzeit der Erstellung des Incidents.
      • Datum und Uhrzeit, die sieben Tage vor der Eröffnung des incident liegen.
    6. Klicken Sie auf Suche.
      Das folgende Beispiel zeigt die Ergebnisse der manuellen Sichtungssuche in den Arbeitsnotizen.
      Manuelle Sichtungssuchergebnisse in den Arbeitsnotizen.

    Ergebnisse

    Ein Datensatz für die Sichtungssuche wird erstellt. Nachdem die Workflow-Ausführung abgeschlossen ist, können Sie die aggregierten Informationen von erkennbaren Elementen anzeigen, die für alle Ereignisse (global) sichtbar und nach ihren internen oder externen Sichtungen kategorisiert sind. Zusammengefasste und zugehörige Sichtungsdaten werden im Security Incident unter den zugehörigen Listen Sichtungen, Sichtungssuchergebnisseund Sichtungssuchdetails angezeigt.

    Melden Sie Sichtungen an MISP

    Melden Sie Sichtungen in Bedrohungsdaten, damit Sie auf falsch positive Meldungen in Ihren Daten reagieren können, und erhöhen Sie Ihr Bewusstsein, wenn eine wirklich positive Bedrohung auftritt. Sie können auch ein Ablaufdatum für ein bestimmtes erkennbares Element oder Attribut hinzufügen.

    Vorbereitungen

    Warum und wann dieser Vorgang ausgeführt wird

    Mit MISP integration for Security Operations können Sie Sichtungen für MISP global über alle Ereignisse hinweg melden. Um eine Sichtung für ein bestimmtes Ereignis zu melden, müssen Sie die Instanz MISP verwenden und die Sichtung lokal melden.

    Um eine Sichtung an MISPzu melden, muss das erkennbare Element oder das Attribut in der Instanz MISP verfügbar sein.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Sichtungen an MISP melden möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die zugehörige Liste Sichtungen.
    4. Wählen Sie das erkennbare Element aus, und wählen Sie im Menü Aktionen eine der folgenden Optionen aus.
      OptionBeschreibung
      MISP: Sichtungen von erkennbaren Elementen melden Melden Sie das erkennbare Element als gesehen an MISP. Wenn das erkennbare Element mehreren Ereignissen zugeordnet ist, wird es in allen Ereignissen aktualisiert.
      MISP: Erkennbares Element als falsch positiv melden Erkennbares Element als falsch positiv an MISPmelden.
      MISP: Erkennbares Element als abgelaufen melden Erkennbares Element als abgelaufen melden an MISP.
      Wenn Sie erkennbare Elemente auswählen, die nicht spezifisch für eine MISP -Quelle sind, zeigt das Menü „Aktionen“ die Anzahl der relevanten MISP -Quellen an. Das folgende Beispiel zeigt vier von acht erkennbaren Elementen als relevant für MISP.Das folgende Beispiel zeigt das Aktionsmenü und die relevanten erkennbaren Elemente für die Übermittlung.
      Abbildung : 1. Aktionsmenü, das die relevanten erkennbaren Elemente für die Übermittlung anzeigt
      Das Menü „Aktionen“ zeigt die relevanten erkennbaren Elemente für MISP an.
    5. Wahlweise: Wenn Sie die Option MISP: Sichtung erkennbarer Elemente melden ausgewählt haben, müssen Sie die Felder im Dialogfeld „Sichtungen erkennbarer Elemente an MISP melden“ ausfüllen.
      Tabelle : 3. Dialogfeld „Sichtung erkennbarer Elemente an MISP melden
      Feld Beschreibung
      Quelle Quellfeld, das der Quelle MISP der Sichtung entspricht.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element sichtbar wurde. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in MISPausgefüllt.

      Das folgende Beispiel zeigt, wie Sie zur zugehörigen Liste „Sichtungen“ im Security Incident navigieren. Aus dieser Liste können Sie ein erkennbares Element auswählen und die Sichtung des erkennbaren Elements an MISPmelden. Die Erfolgsmeldung gibt an, dass die Sichtung erfolgreich an MISPübermittelt wurde.

      Abbildung : 2. Meldet Sichtungen erkennbarer Elemente an MISP
      Meldet Sichtungen erkennbarer Elemente an MISP
      1. Klicken Sie auf Sichtung melden.
    6. Wahlweise: Wenn Sie die Option MISP: Erkennbares Element als falsch positiv melden ausgewählt haben, müssen Sie die Felder des Dialogfelds „Erkennbares Element als falsch positiv melden“ für MISP ausfüllen.
      Tabelle : 4. Dialogfeld „Erkennbares Element als falsch positiv an MISP melden
      Feld Beschreibung
      Quelle (optional) Quellfeld, das der Quelle MISP entspricht. Verwenden Sie dieses Feld, um das erkennbare Element als falsch positiv zu deklarieren.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element als falsch positiv eingestuft wurde. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in MISPausgefüllt.
      1. Klicken Sie auf Falsch positives Ergebnis melden.
    7. Wahlweise: Wenn Sie die Option MISP: Report Observable as Expired (Erkennbares Element als abgelaufen melden) ausgewählt haben, müssen Sie die Felder des Dialogfelds „Ablauf erkennbaren Elements melden bis MISP “ ausfüllen.
      Tabelle : 5. Dialogfeld „Ablauf erkennbarer Elemente an MISP melden“.
      Feld Beschreibung
      Quelle Quellfeld, das der Quelle MISP entspricht. Verwenden Sie dieses Feld, um ein erkennbares Element als abgelaufen festzulegen.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element abgelaufen ist. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in MISPausgefüllt.
      1. Klicken Sie auf Ablauf melden.

    Ergebnisse

    Die Sichtungen wurden erfolgreich auf den Server MISP aktualisiert.