Configurer la façon dont un événement automatique est créé
Configurez le ServiceNow AI Platform pour créer automatiquement des événements dans MISP.
Avant de commencer
- Examiner le MISP Rôle et autorisations d’utilisateur nécessaires à l’utilisation des fonctionnalités bidirectionnelles MISP .
- Rôle requis : sn_si.admin, sn_ti.admin
Procédure
Configurer les conditions de déclenchement d’événement
Configurez les conditions de déclenchement d’événement dans le ServiceNow AI Platform afin de pouvoir déclencher automatiquement un événement MISP lorsque les conditions sont remplies.
Avant de commencer
Rôle requis : sn_sec_misp.write
Procédure
-
Renseignez les détails qui peuvent déclencher un événement dans le formulaire Conditions de déclenchement.
Vous pouvez créer une logique de composé en fournissant les conditions de déclenchement basées sur les champs d’incident de sécurité ou les champs observables. Vous pouvez également créer des événements dans MISP si les observables n’ont pas d’événement correspondant dans MISP. Vous pouvez choisir de créer une logique de composé à l’aide d’une combinaison des trois conditions de déclenchement : Déclencher en fonction des champs d’incident de sécurité, Déclencher en fonction des champs observables et Créer un événement MISP, si un observable n’a pas d’événements correspondants dans MISP. Si vous sélectionnez plusieurs déclencheurs, vous pouvez les joindre à l’aide de la condition ET. Envisagez de créer un profil avec de nouvelles conditions si vous devez utiliser la condition OU.
Tableau 2. Formulaire Conditions de déclenchement d’événement Champ Description Déclencher en fonction des champs d'incident de sécurité MISP Événement que vous pouvez créer si toutes les conditions de déclenchement de l’incident de sécurité sont remplies. Conditions de déclenchement des incidents de sécurité Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du générateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être vérifiées. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Déclencher en fonction des champs observables MISP Événement que vous pouvez créer si toutes les conditions de déclenchement de l’observable sont remplies. Conditions de déclenchement des observables Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du générateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être vérifiées. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Créer un événement MISP en l'absence d'événements correspondants pour l'observable dans MISP MISP Événement que vous pouvez créer en l’absence d’événements correspondants pour un observable dans MISP. Figure 1. Conditions de déclenchement de l’événement L’exemple suivant montre les conditions de déclenchement d’événement lorsque vous configurez le profil de création d’événement MISP .
Mapper les champs de l’événement MISP
Mappez les champs d’événement MISP afin que les informations sur les incidents de sécurité soient disponibles lors MISP de la ServiceNow AI Platform création des événements.
Avant de commencer
Rôle requis : sn_sec_misp.write
Procédure
-
Remplissez les champs du formulaire.
Tableau 3. Formulaire par défaut de mappage de champs d’événements MISP Champ Description Informations sur l'événement Informations sur l’événement qui sont automatiquement créées à partir du ServiceNow AI Platform Réponse aux incidents de sécurité fichier . Le champ Informations sur l’événement prend en charge les variables de substitution à l’aide de ${SIR FIELD LABEL}$. Lors de la création d’un événement, ces variables sont remplacées par les valeurs réelles des champs d’incident de sécurité. La variable de substitution ${URL}$ est remplacée par l’URL de l’incident de sécurité.
Distribution Option qui contrôle qui peut voir cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs, et le paramètre le plus restrictif l’emporte. Les options de distribution sont les suivantes : - Votre organisation uniquement : permet uniquement aux membres de votre organisation d’afficher cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation peut avoir accès pour l’afficher. Les événements avec ce paramètre ne sont pas synchronisés.
- Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toute autre organisation qui se connecte à vos serveurs liés ne peut pas voir l’événement.
- Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris toutes les organisations sur ce MISP serveur, toutes les organisations sur les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à tout serveur situé à deux sauts. Toutes les autres organisations connectées aux serveurs liés situés à deux sauts de distance ne peuvent pas voir l’événement.
- Toutes les communautés : partage l’événement avec toutes les MISP communautés.
Niveau de menace Champ qui indique le niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menaces différentes (faible, moyenne, élevée). Ce champ peut également être laissé comme non défini. Les options sont les suivantes : - Faible : programme malveillant de masse général
- Moyen : menaces persistantes avancées (APT)
- Élevé : APT sophistiquées et attaques 0-day
Statut de l'analyse Étape actuelle de l’analyse de l’événement, avec les options possibles suivantes : - Initiale : l’analyse ne fait que commencer
- En cours : l’analyse est en cours
- Terminé : l’analyse est terminée
L’exemple suivant montre le formulaire que vous pouvez utiliser pour créer un événement dans MISP.Figure 2. Mappage de champ d'événement MISP par défaut
Mapper ou associer des SIR observables en tant qu’attributs aux MISP événements
Mappez les types d’observables Réponse aux incidents de sécurité aux types d’attributs MISP , car les types d’attributs MISP et les SIR observables peuvent être différents.
Avant de commencer
Rôle requis : sn_sec_misp.write
Pourquoi et quand exécuter cette tâche
fournit MISP integration for Security Operations un mappage de système de base que vous utilisez lorsque vous ajoutez SIR des observables en tant qu’attributs à un MISP événement.
Vous pouvez choisir de modifier le mappage du système de base en fonction de votre environnement. Par exemple, vous pouvez mapper plusieurs SIR observables à un seul type d’attribut MISP . Si des types d’observables ne sont pas mappés, l’autre MISP type d’attribut est sélectionné par défaut.
Procédure
-
Mappez les types d’observables Réponse aux incidents de sécurité aux MISP types d’attributs, comme décrit dans la table suivante.
Tableau 4. Correspondance entre les observables du SIR et les types d'attributs du MISP Champ Description Ajouter tous les observables associés en tant qu'attributs Option permettant d’ajouter des observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs. Cette option active le mappage dans la section Mappage de type observable à type d’attribut.
Mappage de type observable à type d’attribut Option permettant de mapper les types d’observables SIR aux types d’attributs MISP . Par exemple, vous pouvez mapper le numéro CVE à SIR l’attribut de vulnérabilité dans MISP. Vous ne pouvez ajouter un SIR type d’observable qu’à un seul MISP type d’attribut.
Le système de base fournit un mappage des types d’observables aux types d’attributs SIRMISP .
Si des types d’observables SIR ne sont pas mappés à un type d’attribut MISP , l’observable est alors mappé à l’autre type d’attribut dans MISP.
Pour ajouter un nouveau mappage, cliquez sur Ajouter type d’observable, recherchez le type d’observable SIR , puis mappez-le au type d’attribut correspondant MISP .
Cliquez sur l’icône Supprimer le
pour supprimer l’association de mappage d’attribut SIR et MISP .Remarque :Pour plus d’informations sur MISP les types d’attributs, consultez la documentation MISP.Filtrer les éléments observables en fonction des balises de sécurité Option permettant de filtrer les observables en fonction des balises de sécurité sélectionnées. Balises de sécurité : ajoutez des balises pour filtrer les observables. Par exemple, si vous ajoutez une balise appelée « Bloquer le partage » ou « TLP : blanc », si l’une de ces balises est associée à l’un des observables, ces observables ne sont pas ajoutés en tant qu’attribut à l’événement MISP lors de la création de l’événement MISP.
Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant Option qui vous permet de savoir que si un observable est marqué comme malveillant dans , le marqueur IDS est activé pour SIR l’attribut MISP correspondant. Si le marqueur IDS n’est pas défini, l’attribut est considéré comme une information contextuelle et n’est pas utilisé pour la détection automatique des intrusions. L’exemple suivant montre comment accéder à la page Options supplémentaires. Sur cette page, vous pouvez activer le mappage des observables SIR et des types d’attributs MISP, ajouter de nouveaux SIR types d’observables, tels que le réseau IPV6 et le réseau IPV4, et le mapper à l’adresse IP du domaine de type d’attribut MISP .
Figure 3. Mappage des SIR observables et MISP des types d’attributs
Synchroniser les MITRE-ATT&CK informations en MISP événements
Synchronisez les informations avec MISP les MITRE-ATT&CK attributs pour une meilleure analyse des incidents de sécurité et des menaces.
Avant de commencer
Rôle requis : sn_sec_misp.write
Procédure
| Champ | Description |
|---|---|
| Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies locales à l’événement MISP | Option permettant de synchroniser les techniques d’incident ServiceNow AI Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP . Remarque : Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP . |
| Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies globales à l’événement MISP | Option permettant de synchroniser les techniques d’incident ServiceNow AI Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP . |
Résultats
Ajouter des balises MISP aux événements
Ajoutez des balises MISP aux événements MISP créés.
Avant de commencer
Rôle requis : sn_sec_misp.write