Configurer le flux d’API personnalisé MISP

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Le Plateform de partage d'informations sur les logiciels malveillants flux d’API MISP (MISP) vous permet d’importer des événements à partir du serveur, ainsi que leurs attributs et objets associés, dans la TISC bibliothèque.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Espaces de travail > Centre de sécurité des renseignements sur les menaces > Intégrations.
    2. Sélectionnez Personnalisé.
      Remarque :
      Par défaut, le MISP flux est inactif. Vous devez modifier la configuration pour activer le flux.
      Interface d’intégrations affichant les flux de renseignements sur les menaces avec MISP Flux activé et flux CrowdStrike inactif.
    3. Sélectionnez le bouton Modifier sur la carte de flux MISP .
    4. Accédez à la section Détails de la configuration .
    5. Mettez à jour le champ URL du point de terminaison REST .
    6. Ajoutez les détails d’authentification requis pour le serveur (le MISP cas échéant).
    7. Accédez à Paramètres supplémentaires pour configurer les filtres afin d’extraire les données à partir de MISP.

      MISP Flux - Paramètres supplémentaires

      L’onglet Paramètres supplémentaires permet de configurer des filtres qui déterminent les MISP événements ingérés.

    8. Sélectionnez Modifier les paramètres.

      Boîte de dialogue Modifier les paramètres supplémentaires affichant les filtres pour MISP les événements, y compris les champs Organisation du créateur, Nom de la balise, Niveau de menace et Niveau de distribution.

    9. Sélectionnez les filtres requis.
      Remarque :
      Tous les filtres configurés seront appliqués conjointement lors de l’ingestion des événements.
      La section suivante explique chaque option disponible. Passez en revue chaque option dans le tableau suivant pour comprendre comment les filtres optimisent les MISP événements ingérés dans la TISC bibliothèque.
    10. Sélectionnez les valeurs requises parmi les filtres disponibles suivants.
      Tableau 1. Modifier les paramètres supplémentaires
      Champ Description
      Filtres sur les événements
      Inclure les événements non publiés Cochez cette case si vous souhaitez inclure les événements non publiés.
      Nom ou ID de l’org. du créateur Entrez une liste séparée par des virgules des noms et/ou ID des organisations associées à l’événement.
      Remarque :
      Si le nom de l’organisation contient des espaces de début ou de fin, placez le nom entre guillemets doubles pour confirmer un traitement approprié.
      Nom ou ID de balise Saisissez une liste séparée par des virgules de noms de balises et/ou d’ID de balises associés à l’événement.
      Niveau de menace Sélectionnez un niveau de menace pour filtrer les événements entrants. Si vous laissez ce champ vide, vous trouverez des événements de tous les niveaux de menace.
      Niveau de distribution Sélectionnez un niveau de distribution pour limiter les événements. Si vous laissez ce champ vide, les événements de tous les niveaux de distribution seront inclus.
      Remarque :

      Une fois que vous avez défini les paramètres supplémentaires en suivant les instructions précédentes, vous pouvez dupliquer le flux lors de la création d’un autre. Pour en savoir plus, lisez Étape 13.

    11. Sélectionnez Mettre à jour dans la boîte de dialogue Paramètres supplémentaires pour enregistrer les paramètres supplémentaires modifiés.
    12. Sélectionnez Activer pour activer le flux pour l’inclusion MISP des MISP événements.

      L’application TISC utilise la date configurée dans le champ Extraire les données à partir de comme base de référence pour récupérer les événements et les attributs associés.

      La date d’extraction des données détermine les événements et les attributs associés à récupérer. TISC Compare cette date avec des horodatages spécifiques basés sur l’état de l’événement :

      • Événements publiés : comparés à l’horodatage publié.
      • Événements non publiés : comparés à l’horodatage de la dernière mise à jour.

      Un événement n’est récupéré que si son horodatage pertinent est ultérieur à la date d’extraction des données configurée.

      L’utilisation de l’horodatage approprié pour chaque statut d’événement permet de vérifier la récupération précise des événements récemment publiés et des événements non publiés récemment mis à jour.

    13. Facultatif : Sélectionnez Dupliquer pour dupliquer le flux.
      Pour plus d'informations, consultez Dupliquer les flux de renseignements sur les menaces.
      Remarque :
      • Chaque MISP événement importé dans la bibliothèque, qu’il s’agisse d’un TISCrapport de menace ou d’un événement de menace, inclut un enregistrement de référence externe associé.
      • Cet enregistrement est accessible via l’onglet Enregistrements connexes et fournit un lien URL direct vers l’événement correspondant MISP sur le MISP serveur. Cela permet également d’accéder rapidement aux données d’événement d’origine.
      • Pour plus de détails sur la façon dont MISP les événements, ainsi que leurs attributs et objets associés, sont mappés aux entités, reportez-vous à TISCKB2197697.
      • Les types d’entité qui ne sont pas inclus dans le mappage décrit dans l’article de la base de connaissances ne sont pas ingérés dans la TISC bibliothèque.