Configurer le mode de création d’un événement automatique

Rversion finale: Xanadu

Mis à jour 1 août 2024

9 minutes de lecture

Configurez l’pour créer automatiquement des Now Platform événements dans MISP.

Avant de commencer

Examiner le MISP Rôles d’utilisateur et autorisations qui sont nécessaires pour utiliser les MISP fonctionnalités bidirectionnelles.
Rôle requis : sn_si.admin, sn_ti.admin

Procédure

Accédez à la Tout > Intégration de MISP > Profils de création automatique d'événements.
Cliquez sur Nouveau.

Renseignez les champs du formulaire.

Tableau 1. Formulaire de nom
Champ	Description
Nom	Nom du profil de création automatique d’événements.
Description	Brève description du profil. Une description plus détaillée est partagée via les attributs à l’étape suivante de la création de l’événement.
Ordre	Ordre du profil lorsque les conditions de déclenchement sont remplies. La valeur par défaut est 100. Laissez ce paramètre sur la valeur par défaut. Si vous créez plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le profil avec le numéro le plus bas a la priorité la plus élevée.
Source	MISP Source pour la création de l’événement.
Actif	Option qui indique si le profil est actif ou inactif. L’option est désactivée par défaut pour indiquer que le profil est désactivé. Ce profil n’est pas actif tant que vous n’avez pas terminé toutes les étapes de configuration du profil et que vous n’avez pas cliqué sur Terminer.

Cliquez sur Continuer.

Configurer les conditions de déclenchement d’un événement

Configurez les conditions de déclenchement d’événement dans le Now Platform afin de pouvoir déclencher automatiquement un événement lorsque MISP les conditions sont remplies.

Avant de commencer

Rôle requis : sn_sec_misp.write

Procédure

Dans le formulaire Conditions de déclenchement, renseignez les détails qui peuvent déclencher un événement.

Vous pouvez créer une logique de composé en fournissant les conditions de déclenchement basées sur des champs d’incident de sécurité ou des champs d’observables. Vous pouvez également créer des événements dans MISP si les observables n’ont pas d’événement correspondant dans MISP. Vous pouvez choisir de créer une logique de composé à l’aide d’une combinaison des trois conditions de déclenchement : Déclencher en fonction des champs d’incident de sécurité, Déclencher en fonction des champs observables et Créer un événement MISP, si un observable n’a pas d’événements correspondants dans MISP. Si vous sélectionnez plusieurs déclencheurs, vous pouvez les joindre à l’aide de la condition ET. Envisagez de créer un profil avec de nouvelles conditions si vous devez utiliser la condition OU.

Tableau 2. Formulaire de conditions de déclenchement d’événement
Champ	Description
Déclencher en fonction des champs d'incident de sécurité	MISP Événement que vous pouvez créer si toutes les conditions de déclenchement d’un incident de sécurité sont remplies.
Conditions de déclenchement des incidents de sécurité	Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du générateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Déclencher en fonction des champs observables	MISP Événement que vous pouvez créer si toutes les conditions de déclenchement observables sont remplies.
Conditions de déclenchement des observables	Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du générateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
Créer un événement MISP en l'absence d'événements correspondants pour l'observable dans MISP	MISP Événement que vous pouvez créer si un observable ne dispose pas d’événements correspondants dans MISP.

Configurez les conditions qui sont basées sur un événement créé dans MISP. — Figure 1. Conditions de déclenchement d’événement

Cliquez sur Continuer.

Mapper les champs de l’événement MISP

Mappez les champs d’événements MISP dans le afin que les informations sur les incidents de sécurité soient disponibles lors MISP de la Now Platform création des événements.

Avant de commencer

Rôle requis : sn_sec_misp.write

Procédure

Renseignez les champs du formulaire.

Tableau 3. Formulaire de mappage de champs d’événements MISP par défaut
Champ	Description
Informations sur l'événement	Informations sur l’événement Now Platform Réponse aux incidents de sécuritéqui sont automatiquement créées à partir du . Le champ Informations sur l’événement prend en charge les variables de substitution à l’aide de ${SIR FIELD LABEL}$. Lors de la création d’un événement, ces variables sont remplacées par les valeurs de champ réelles d’incident de sécurité. La variable de substitution ${URL}$ est remplacée par l’URL de l’incident de sécurité.
Distribution	Option qui contrôle qui peut voir cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs, et le paramètre le plus restrictif l’emporte. Les options de distribution sont les suivantes : Votre organisation uniquement : permet uniquement aux membres de votre organisation de voir cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation peut avoir accès à son affichage. Les événements avec ce paramètre ne sont pas synchronisés. Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations présentes sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toute autre organisation qui se connecte à vos serveurs liés n’est pas autorisée à afficher l’événement. Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement, y compris toutes les organisations sur ce MISP serveur, toutes les organisations sur les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts. Toute autre organisation connectée aux serveurs liés situés à deux sauts de distance n’est pas autorisée à afficher l’événement. Toutes les communautés : partage l’événement avec toutes les MISP communautés.
Niveau de menace	Champ qui indique le niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menace différentes (faible, moyenne, élevée). Ce champ peut également rester non défini. Les options sont les suivantes : Faible : programme malveillant de masse général Moyen : menaces persistantes avancées (APT) Élevé : APT sophistiquées et attaques 0-day
État de l'analyse	Étape actuelle de l’analyse de l’événement, avec les options possibles suivantes : Initial : L’analyse ne fait que commencer En cours : l’analyse est en cours Terminé : l’analyse est terminée

L’exemple suivant montre le formulaire que vous pouvez utiliser pour créer un événement dans MISP.

Figure 2. Mappage de champ d'événement MISP par défaut

Configurez le formulaire pour créer un nouvel événement dans MISP.

Cliquez sur Continuer.

Mapper ou associer des SIR observables en tant qu’attributs à MISP des événements

Mappez les Réponse aux incidents de sécurité types des observables aux types d’attributs MISP , car les types d’attributs et les MISPSIR observables peuvent être différents.

Avant de commencer

Rôle requis : sn_sec_misp.write

Pourquoi et quand exécuter cette tâche

Le Intégration de MISP pour Opérations de sécurité fournit un mappage de système de base que vous utilisez lorsque vous ajoutez SIR des observables en tant qu’attributs à un MISP événement.

Vous pouvez choisir de modifier le mappage du système de base pour l’adapter à votre environnement. Par exemple, vous pouvez mapper plusieurs SIR observables à un seul type d’attribut MISP . Si des types d’observables ne sont pas mappés, l’autre MISP type d’attribut est sélectionné par défaut.

Procédure

Sur le formulaire Options supplémentaires, mappez les types observable SIR et MISP attribut.

Mappez les Réponse aux incidents de sécurité types des observables aux types d’attributs MISP , comme décrit dans la table suivante.

Tableau 4. Correspondance entre les observables du SIR et les types d'attributs du MISP
Champ	Description
Ajouter tous les observables associés en tant qu'attributs	Option que vous activez pour ajouter les observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs. Cette option active le mappage dans la section Mappage du type d’observable au type d’attribut.
Mappage entre type observable et type d’attribut	Option permettant de mapper les SIR types observables aux types d’attributs MISP . Par exemple, vous pouvez mapper le numéro CVE à l’attribut de vulnérabilité dans SIRMISP. Vous ne pouvez ajouter un SIR type d’observable qu’à un seul type d’attribut MISP . Le système de base fournit un mappage des types observables aux types d’attributs SIRMISP . Si des types d’observables SIR ne sont pas mappés à un type d’attribut MISP , l’observable est alors mappé à l’autre type d’attribut dans MISP. Pour ajouter un nouveau mappage, cliquez sur Ajouter un type d’observable, recherchez le type d’observable, puis effectuez un SIR mappage au type d’attribut correspondant MISP . Cliquez sur l’icône Supprimer le pour supprimer l’association de mappage d’attribut SIR et MISP . Remarque : Pour en savoir plus sur MISP les types d’attributs, consultez la documentation MISP.
Filtrer les observables en fonction des balises de sécurité	Option permettant de filtrer les observables en fonction des balises de sécurité sélectionnées. Balises de sécurité : ajoutez des balises pour filtrer les observables. Par exemple, si vous ajoutez une balise appelée « Bloquer à partir du partage » ou « TLP : blanc », si l’une de ces balises est associée à l’un des observables, ces observables ne sont pas ajoutés en tant qu’attributs à l’événement MISP lors de la création de l’événement MISP.
Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant	Option qui vous permet de savoir que si un observable est marqué comme malveillant dans SIR, le marqueur IDS est activé pour l’attribut correspondant dans MISP Si le marqueur IDS n’est pas défini, l’attribut est considéré comme une information contextuelle et n’est pas utilisé pour la détection automatique des intrusions.

L’exemple suivant montre comment accéder à la page des options supplémentaires. Sur cette page, vous pouvez activer le mappage des observables SIR et des types d’attributs MISP, ajouter de nouveaux SIR types d’observables, tels que le réseau IPV6 et le réseau IPV4, et les mapper à l’adresse IP du domaine de type d’attribut MISP .

Figure 3. Mappage des SIR observables et MISP des types d’attributs

Mappez l’observable SIR et le type d’attribut MISP.

Synchroniser MITRE-ATT&CK les informations en MISP événements

Synchronisez les informations avec MISP des MITRE-ATT&CK attributs pour une meilleure analyse des incidents de sécurité et des menaces.

Avant de commencer

Rôle requis : sn_sec_misp.write

Procédure

Dans le formulaire Options supplémentaires, examinez les options pour synchroniser les informations avec les MITRE-ATT&CKMISP attributs.

Tableau 5. Formulaire Options avancées
Champ	Description
Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies locales à l’événement MISP	Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP . Remarque : Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies globales à l’événement MISP	Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP .

Résultats

Vous avez créé un profil qui vous permet de créer automatiquement des événements dans MISP à Now Platformpartir du . Vous pouvez maintenant afficher les événements dans la liste connexe des événements MISP associés.

Ajouter des balises MISP aux événements

Ajoutez des balises MISP aux événements MISP créés.

Avant de commencer

Rôle requis : sn_sec_misp.write

Procédure

Dans le formulaire Options supplémentaires, accédez à Sélectionner les balises MISP à ajouter à la section d’événement de la vue de formulaire.

Passez en revue les options permettant d’ajouter des balises aux événements créés.

Tableau 6. Formulaire Options avancées
Champ	Description
Ajouter des balises à l’événement MISP créé	Option qui vous permet d’ajouter automatiquement des balises MISP aux événements créés à partir de ServiceNow.
Balises (locales)	Les balises sélectionnées seront ajoutées en tant que balises locales à l’événement MISP.
Balises (globales)	Les balises sélectionnées seront ajoutées en tant que balises globales à l’événement MISP.

Cliquez sur Enregistrer.

Résultats

L’ajout de balises MISP facilite la classification de l’événement.