Gestion des événements dans MISP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 12 minutes de lecture

    • Vous pouvez créer des événements automatiquement ou manuellement à MISP partir du .ServiceNow AI Platform Vous pouvez également modifier les données d’événement dans MISP le ServiceNow AI Platform fichier .

    Vérification des événements créés automatiquement dans MISP

    Vous pouvez vérifier les événements créés automatiquement après avoir configuré le profil de création d’événements dans votre ServiceNow AI Platform instance.

    Profil de création automatique d’événements

    La configuration du profil de création automatique d’événements est effectuée par les rôles d’utilisateur sn_si.admin ou sn_ti.admin dans le Intégration de MISP > Profils de création automatique d'événements module.

    Affichage des données de l’événement MISP

    Vous pouvez afficher les événements créés des manières suivantes :

    • Affichez les notes de travail pour les événements créés. Vous pouvez afficher les détails de l’événement dans l’instance ServiceNow AI Platform , ainsi que tels qu’ils apparaissent dans le MISP serveur, comme illustré dans l’exemple suivant.
      Figure 1. Notes de travail pour les événements créés
      Affichez les notes de travail pour les événements créés.
    • Cliquez sur la liste connexe Événements MISP associés . Ici, vous pouvez afficher l’événement lié à l’incident de sécurité et aux MISP ressources, comme illustré dans l’exemple suivant.
      Figure 2. Liste des événements associés
      Afficher la liste des événements associés
    • Affichez les données d’événement MISP dans la vue de formulaire pour consulter les informations détaillées sur les MISP événements, comme illustré dans l’exemple suivant.
      Figure 3. Données d’événement dans la vue de formulaire
      Affichez les données d’événement dans la vue de formulaire pour afficher les informations détaillées sur l’événement MISP.

    Créer manuellement un événement dans MISP

    Créez manuellement des événements à MISP partir de pour capturer des informations contextuelles représentées sous forme d’attributs et d’objets ServiceNow AI Platform .

    Avant de commencer

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez créer un événement.
    3. Cliquez sur Créer un nouvel événement dans MISP.
    4. Dans la boîte de dialogue Créer un nouvel événement dans MISP, renseignez les détails.
      Tableau 1. Créer un événement dans la boîte de dialogue MISP
      Champ Description
      Date Date de création de l’événement en MISP.
      Informations sur l'événement Informations sur l’événement qui sont automatiquement créées à partir du ServiceNow AI Platform Réponse aux incidents de sécurité fichier .
      Niveau de menace Niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menaces différentes (faible, moyenne, élevée). Ce champ peut également être laissé comme non défini. Les options sont les suivantes :
      • Faible : programme malveillant de masse général
      • Moyen : menaces persistantes avancées (APT)
      • Élevé : APT sophistiquées et attaques 0-day
      Source MISP Source pour la création de l’événement.
      Distribution Option qui contrôle qui peut voir cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs. Le cadre le plus restrictif l’emporte. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : permet uniquement aux membres de votre organisation d’afficher cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation a accès pour l’afficher. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toute autre organisation connectée à des serveurs liés ne peut pas voir l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris toutes les organisations sur ce MISP serveur, toutes les organisations sur MISP les serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à tout serveur situé à deux sauts. Toute autre organisation connectée aux serveurs liés situés à deux sauts de ce serveur ne peut pas voir l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés.
      Analyse Étape actuelle de l’analyse de l’événement avec les options possibles suivantes :
      • Initiale : l’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Terminé : l’analyse est terminée
      Options avancées Ajouter les observables associés SIR en tant qu'attributs à l'événement MISP Option permettant d’ajouter des observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs.

      Cette option active l’option Définir le marqueur IDS d’attribut lorsque le résultat observable est malveillant .
      Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Filtrer les éléments observables en fonction des balises de sécurité Option permettant de filtrer les observables en fonction des balises de sécurité sélectionnées. Cette option permet de distinguer et de gérer les événements MISP dans les renseignements sur les menaces.

      Balises de sécurité : ajoutez des balises pour filtrer les observables. Par exemple, si vous ajoutez une balise appelée « Bloquer le partage » ou « TLP : blanc », si l’une de ces balises est associée à l’un des observables, ces observables ne sont pas ajoutés en tant qu’attribut à l’événement MISP lors de la création de l’événement MISP.
      Synchroniser les techniques d’incident de sécurité ATT&CK MITRE en tant que galaxies locales à l’événement MISP Option permettant de synchroniser les techniques d’incident ServiceNow AI Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP .
      Synchroniser les techniques d'incident de sécurité ATT&CK MITRE en tant que galaxies globales à l'événement MISP Option permettant de synchroniser les techniques d’incident ServiceNow AI Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP .
      Ajouter des balises à l'événement MISP Option qui vous permet d’ajouter des balises MISP aux événements créés à partir de ServiceNow. Cette option affiche les options suivantes :
      • Local (balises) :Les balises sélectionnées sont ajoutées en tant que balises locales à l’événement MISP.
      • Global (balises) :Les balises sélectionnées seront ajoutées en tant que balises globales à l’événement MISP.
    5. Cliquez sur Créer un nouvel événement MISP.

      L’exemple suivant montre qu’en créant un événement dans MISP, vous pouvez afficher les résultats dans l’incident de sécurité. Vous pouvez également afficher les notes de travail, l’événement dans l’instance ServiceNow AI Platform et l’événement dans le MISP serveur, comme illustré dans l’exemple suivant.

      Figure 4. Créer manuellement un événement dans MISP à partir de ServiceNow AI Platform
      Créez manuellement un événement dans MISP à partir du ServiceNow AI Platform fichier .
      Vous pouvez afficher les résultats des manières suivantes :
      • Un message de réussite s’affiche en haut de la page d’incident de sécurité. Vous pouvez afficher les détails de l’événement dans l’instance ServiceNow AI Platform , ainsi que tels qu’ils apparaissent sur le MISP serveur.
      • Dans les notes de travail, vous pouvez afficher le message de réussite avec plus de détails. Vous pouvez également afficher les détails de l’événement dans l’instance ServiceNow AI Platform et tels qu’ils apparaissent sur le MISP serveur.
      • Dans la liste connexe des événements MISP associés , vous pouvez afficher l’événement par rapport à l’incident de sécurité et aux MISP ressources.

    Ajouter des attributs à un MISP événement

    Ajoutez des attributs à un événement, tels que le type, la catégorie et d’autres informations contextuelles sur l’événement.

    Avant de commencer

    • Examiner le MISP Rôle et autorisations d’utilisateur pour l’utilisation MISP des fonctionnalités bidirectionnelles.
    • Vérifiez que l’événement que vous ajoutez ou mettez à jour l’attribut appartient à la même organisation que l’utilisateur MISP .
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tous > MISP > Événements MISP associés.
      Vous pouvez également accéder à la liste connexe Événement MISP associé dans n’importe quel incident de sécurité.
    2. Cliquez sur l’événement MISP pour lequel vous souhaitez ajouter un attribut.
    3. Cliquez sur Ajouter un attribut à l’événement MISP.
    4. Renseignez les champs de la boîte de dialogue Ajouter un attribut à l’événement.
      Tableau 2. Boîte de dialogue Ajouter un attribut à l’événement
      Champ Description
      Valeur Valeur réelle de l’attribut. Saisissez des données sur la valeur en fonction de ce qui est valide pour le type d’attribut choisi. Par exemple, pour un attribut de type ip-src (adresse IP source), 11.11.11.11 est une valeur valide.
      Remarque :
      Vous ne pouvez sélectionner que des attributs ou des observables qui partagent un contexte avec l’événement. Les observables ne peuvent pas déjà avoir un attribut dans MISP.
      Catégorie Catégorie de l’attribut. La catégorie décrit l’aspect du programme malveillant pour cet attribut. Par exemple, les mécanismes de persistance du logiciel malveillant ou l’activité du réseau.
      Type Type qui explique la catégorie. Par exemple, si un attaquant utilise une adresse IP pour une attaque, une adresse e-mail source ou un fichier envoyé via une pièce jointe peuvent tous décrire la livraison de la charge utile d’un logiciel malveillant. Ces types d’attributs ont la catégorie de la charge utile.
      Distribution Utilisateurs qui peuvent afficher cet attribut. La distribution est héritée par attributs. Le cadre le plus restrictif l’emporte.
      Utiliser l'attribut comme signature IDS Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Commentaires Commentaires que vous ajoutez pour les attributs.

      L’exemple suivant montre qu’en naviguant à partir de la liste Événements MISP associés, vous pouvez afficher l’enregistrement d’événement 5627 et ajouter des attributs à l’événement. Les attributs comprennent la valeur (testdomain.com), la catégorie en tant qu’analyse externe, le type en tant que domaine. Vous pouvez également activer IDS. Le message de réussite sur l’enregistrement d’événement montre que l’attribut est ajouté à l’événement, comme illustré dans l’exemple suivant.

      Figure 5. Ajouter un attribut à un événement MISP
      Ajout d’un attribut à un événement MISP.
    5. Cliquez sur Ajouter un attribut à l’événement MISP.

    Résultats

    Vous pouvez afficher l’attribut ajouté dans la section Attributs.

    Ajouter des balises à un MISP événement

    Ajoutez des balises ServiceNow AI Platform MISP pour classer les événements ou les attributs. Vous pouvez utiliser le balisage globalement pour activer votre classification ou utiliser les balises localement lorsque vous ne souhaitez MISP pas que les événements soient modifiés au cours de votre classification.

    Avant de commencer

    • Examiner le MISP Rôle et autorisations d’utilisateur pour l’utilisation MISP des fonctionnalités bidirectionnelles.
    • Vérifiez que l’événement que vous modifiez appartient à la même organisation que l’utilisateur MISP .
    • Notez que les balises et les galaxies qui sont à votre disposition sont basées sur la MISP source et ses autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient l’événement pour lequel vous souhaitez ajouter des balises.
    3. Cliquez sur Afficher toutes les listes connexes et sur la liste connexe Résultats de l’enrichissement MISP.
    4. Cliquez sur l’ID d’événement dans la liste des résultats d’enrichissement.
      Vous pouvez également naviguer à partir du MISP > Événements MISP associés module.
    5. Passez en revue l’enregistrement de l’événement MISP.
      Tableau 3. Vue de formulaire d’événement MISP
      Champ Description
      ID d'événement ID d’événement attribué lors de MISP la création ou de l’importation initiale de l’événement dans le MISP serveur.
      UUID ID qui identifie de manière unique les événements et les attributs.
      Org. du créateur Organisation qui a créé l’événement sur l’instance MISP .
      Org. du propriétaire Organisation propriétaire de l’événement sur l’instance MISP . Seuls les administrateurs peuvent accéder à ce champ.
      Créateur Utilisateur ayant créé l’événement dans MISP.
      Dernier changement Date de la dernière modification de l’événement.
      Source MISP MISP Source où l’événement est créé.
      Date de création (dans MISP) Date de création ou de première importation de l’événement dans le MISP serveur.
      Niveau de menace Niveau de risque de l’événement. Les incidents peuvent être classés en trois catégories de menaces différentes (faible, moyenne, élevée). Ce champ peut être laissé comme non défini. Les options sont les suivantes :
      • Faible : programme malveillant de masse général
      • Moyen : menaces persistantes avancées (APT)
      • Élevé : APT sophistiquées et attaques 0-day
      Analyse Étape actuelle de l’analyse de l’événement avec les options possibles suivantes :
      • Initiale : l’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Terminé : l’analyse est terminée
      Distribution Distribution de l’attribut individuel. Un attribut peut avoir un niveau de distribution différent de celui de l’événement.
      Publié État indiquant si l’événement a été publié ou non. La publication permet d’utiliser les attributs de l’événement pour toutes les exportations éligibles et avertit les utilisateurs qui se sont abonnés aux alertes d’événement.
      Lien hypertexte d'événement MISP Lien vers l’événement MISP stocké sur le MISP serveur.
      Info Brève description de l’événement.
      Balises (locales) Balises disponibles sur l’instance de l’organisation MISP hôte pour activer le balisage pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des balises locales. Les balises locales sont toujours supprimées avant d’être synchronisées avec d’autres instances et communautés de MISP partage.
      Balises (globales) Balises disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des balises globales à MISP des instances, vous pouvez modifier les événements.
      Galaxies (locales) Galaxies disponibles sur l’instance de l’organisation hôte pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des galaxies MISP locales. Ces galaxies locales sont toujours dépouillées avant d’être synchronisées avec d’autres MISP instances et communautés de partage.
      Galaxies (globales) Galaxies disponibles dans le monde entier pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des galaxies globales, MISP vous pouvez modifier les événements.
    6. Pour modifier une balise locale ou globale, cliquez sur l’icône Modifier dans l’une des options suivantes :
    • Balises (locales)
    • Balises (globales)
    1. Dans la boîte de dialogue Balises d’événements MISP, entrez le nom de la balise à rechercher et ajoutez-la.
    2. Cliquez sur Mettre à jour les balises sur l’événement MISP.

      L’exemple suivant montre qu’en cliquant sur l’icône de modification des balises locales, vous pouvez rechercher et ajouter les balises C3, Adware, C2 et Botnet 3101, et mettre à jour le serveur MISP avec les balises. Le message de confirmation indique que toutes les balises sont mises à jour dans MISP.

      Figure 6. Mise à jour des balises sur l’événement MISP
      Mise à jour des balises vers un événement MISP.
    3. Cliquez sur Recharger le formulaire dans le message de réussite pour afficher les changements dans l’enregistrement.

    Résultats

    Les balises sont mises à jour dans le MISP serveur.

    Mettre à jour les galaxies en fonction d’un événement ou d’un MISP attribut

    Ajoutez ou supprimez des galaxies afin ServiceNow AI Platform MISP de pouvoir classer ces objets en tant que grappe dans l’instance MISP et les attacher à des événements ou à MISP des attributs.

    Avant de commencer

    • Examiner le MISP Rôle et autorisations d’utilisateur requis pour utiliser les fonctionnalités bidirectionnelles MISP .
    • Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    • Les balises et les galaxies disponibles sont basées sur la MISP source et ses autorisations de diffusion.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Cliquez sur l’icône Modifier dans l’une des options suivantes.
    • Galaxies (locales)
    • Galaxies (globales)
    1. Dans la boîte de dialogue Galaxies d’événements MISP, tapez et recherchez pour ajouter les balises.
    2. Cliquez sur Mettre à jour les galaxies vers l’événement MISP.

      L’exemple suivant montre comment cliquer sur l’icône de modification pour les galaxies locales, sélectionner l’espace de noms obsolète, sélectionner la galaxie Enterprise Attack - Attack Pattern et ajouter des informations de cluster. Une fois les informations sur les galaxies mises à jour, vous pouvez afficher le message de réussite.

      Figure 7. Mettre à jour les informations sur la galaxie vers l’événement MISP
      Mise à jour des informations sur la galaxie vers l’événement MISP.
      Les galaxies sont mises à jour avec succès dans le MISP serveur.
    3. Cliquez sur Recharger le formulaire dans le message de réussite pour afficher les changements dans l’enregistrement.