MISP integration for Security Operations

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

5 minutes de lecture

Avec MISP integration for Security Operations, vous pouvez enquêter sur les incidents de sécurité à l’aide de recherches de perception, de l’enrichissement des observables et créer ou mettre à jour des événements dans MISP. , MISPvous pouvez examiner les attaques ciblées plus rapidement, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

Demander des applications dans l'App Store

Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

Vue d'ensemble de MISP

MISP, qui signifie Malware Information Sharing Platform, vous permet d’échanger et de partager des renseignements sur les menaces et des indicateurs de compromission (IoC) sur les logiciels malveillants et les attaques ciblés au sein de votre communauté de membres de confiance. Vous pouvez également partager MISP des informations avec des communautés privées ou ouvertes. En échangeant MISP des informations, vous pouvez enquêter plus rapidement sur les attaques ciblées, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

MISP et Security Operations

Reportez-vous à l’exemple suivant pour découvrir comment les informations circulent avec les MISP applications Security Operations.

Comment MISP s’intègre aux applications Security Operations. — Figure 1. Vue d’ensemble de MISP et Security Operations

Fonctionnalités principales

Cette intégration comprend ce que vous pouvez faire avec les MISP fonctionnalités clés :

Connectez-vous aux connexions privées et publiques MISP instances.
Prise en charge de la recherche de perception manuelle et automatique des observables.
Exécuter la recherche de perception à partir de la gestion des tickets.
Rapportez ou mettez à jour des observations pour un attribut :
- Signaler un observable comme observation (global)
- Signaler un observable comme faux positif (global)
- Signaler un observable comme expiré
Prise en charge de l’enrichissement manuel et automatique des observables. Les résultats incluent les informations sur l’attribut et l’événement MISP associées aux observables.
Enrichissement des attributs, y compris MISP l’ajout ou la mise à jour de balises, de galaxies ou de commentaires. Ajouter ou supprimer des galaxies à un événement ou à un MISP attribut
Création d’événements dans MISP de SIR: prend en charge la création manuelle et automatique d’événements dans MISP à partir de .SIR
Mettre à jour un événement à partir duquel inclut l’ajout MISPSIR ou la mise à jour de balises, de galaxies ou d’attributs. Mettre à jour des galaxies en fonction d’un événement ou d’un MISP attribut
Ajouter des observables associés à un incident de sécurité en tant qu’attributs MISP event.
Extraction automatique MITRE-ATT&CK™ Informations provenant de MISP attributs et associez les informations à SIR des incidents de sécurité.
Ajouter automatiquement SIR MITRE-ATT&CK™ l’information sous forme de galaxies à un MISP event.

Concepts clés

Cette intégration comprend les concepts clés suivants que vous devez connaître :

MISP est une plateforme de renseignements sur les menaces (TIP). Vous utilisez les TIP pour collecter, corréler, catégoriser, partager et intégrer des données sur les menaces de sécurité en temps réel afin de prendre en charge la hiérarchisation des actions et d’aider à la prévention, à la détection et à la réponse aux attaques.
MISP est un module de gestion Threat Intelligence Management (TIM). Vous utilisez les TIM pour transformer les données sur les menaces en renseignements sur les menaces grâce au contexte et pour classer automatiquement les menaces par ordre de priorité en fonction de la pertinence et de la notation définies par l’utilisateur.
MISP Couche de données
- Les événements sont des encapsulations d’informations contextuellement liées.
- Les attributs sont des points de données individuels, qui peuvent être des indicateurs ou des données de support.
- Les objets sont des compositions d’attributs de modèle personnalisées.
- Les références d’objet correspondent aux relations entre les autres blocs de construction.
- Les perceptions sont des occurrences temporelles spécifiques d’un point de données détecté.
MISP Couche de contexte
- Les balises sont des étiquettes attachées à des événements ou à des attributs et peuvent provenir de taxonomies.
- Les amas de galaxies sont des éléments de la base de connaissances que vous pouvez utiliser pour étiqueter des événements ou des attributs provenant de galaxies.
- Les relations entre les grappes désignent des relations prédéfinies entre les grappes.
Les indicateurs contiennent un modèle que vous pouvez utiliser pour détecter les cyber-activités suspectes ou malveillantes.
Les attributs dans MISP peuvent être des indicateurs réseau (adresse IP), des indicateurs système (une chaîne en mémoire) ou même des détails de compte bancaire. Les attributs dans MISP sont connus sous le nom d’observables dans d’autres SIEM ou formats tels que STIX.
- Un type décrit l’attribut. Par exemple, MD5 ou une URL.
- La catégorie d’attribut décrit un attribut. Par exemple, une livraison de charge utile.
- Une balise IDS détermine si un attribut peut être automatiquement utilisé pour la détection.

Remarque :

Pour plus d’informations sur MISP les concepts, consultez le site Web de la documentation MISP

Comment votre organisation peut-elle bénéficier des avantages suivants : MISP integration for Security Operations

Les analystes de sécurité doivent acquérir et maintenir une connaissance situationnelle du paysage des menaces, ce qui signifie qu’ils doivent consolider et intégrer manuellement une quantité écrasante de données sur les menaces. La collecte, la consolidation et l’intégration de ces données prennent un temps précieux, ce qui ralentit la détection et l’analyse des menaces. MISP integration for Security Operations permet aux analystes de détecter davantage de menaces et de réagir plus rapidement en intégrant les renseignements de MISP sécurité à une instance existante Now Platform .

À l’aide de , MISP integration for Security Operationsvotre organisation peut effectuer les actions suivantes :

Permettez à vos analystes de la sécurité de réagir rapidement et dans le bon contexte.
Améliorez l’efficacité de votre équipe de sécurité en automatisant les workflows d’incident pour détecter et contenir les menaces.
Réduisez le Now Platformtemps de recherche manuelle et permettez aux analystes de sécurité d’opérationnaliser et d’organiser des indicateurs à partir du .

En savoir plus sur cette intégration


Identificateur de document	Titre de document
MISP Site web de documentation	Site web de la documentation MISP
ServiceNow Site web de la documentation produit	Site Web de la documentation du produit ServiceNow