Mise en route de MISP integration for Security Operations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Examinez les informations suivantes avant de configurer votre MISP integration for Security Operationsfichier .

    Tableau 1. Liste de vérification
    Tâche de configuration Description
    Vérifiez que vous avez affecté les rôles , Renseignements sur les menaceset Réponse aux incidents de sécurité et requisNow Platform. Les rôles suivants sont utilisés dans les fonctionnalités du MISPNow Platform:
    • L’administrateur (admin) installe les applications à partir des rôles d’administrateur ServiceNow Store des incidents de sécurité (sn_si.admin) et d’administrateur Threat Intelligence (sn_ti.admin), et leur attribue.
    • sn_si.admin et sn_ti.admin peuvent configurer l’intégration et les profils de création automatique MISP d’événements.
    • sn_sec_misp.write : le rôle d’analyste MISP dispose d’autorisations de lecture et d’écriture pour MISP les données, y compris les données d’événement et d’attribut.

    Pour plus d’informations, consultez Configurer Threat Intelligence.
    Affectez les rôles d’utilisateur requis MISP . Examinez le MISP rôles d’utilisateur et les autorisations requises pour utiliser le MISP integration for Security Operations.
    Remarque :
    Pour plus d’informations sur les rôles d’utilisateur dans MISP, reportez-vous à la section Rôles du site Web de documentation MISP.
    Vérifiez que vous utilisez la MISP version 2.4.137 ou une version ultérieure. Le MISP integration for Security Operations est testé avec un minimum de MISP version 2.4.137.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge le MISP module sont installées et activées.
    Vérifiez que les applications suivantes Security Operations sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez et activez une application à la fois dans l’ordre suivant pour garantir une installation sans problème.
    • Réponse aux incidents de sécurité
    • ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    • ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)

    Pour plus d’informations sur la configuration de votre Now Platform instance pour l’intégration, consultez Obtenir une autorisation pour un produit ou une application Security Operations et activer une application ServiceNow Store.
    Séparation de domaine Vérifiez la section Domain Separation si vous avez l’intention de séparer les données, les processus et les tâches administratives.