Gestion d’événements dans MISP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 12 minutes de lecture

    • Vous pouvez créer des événements automatiquement ou manuellement à MISP partir du Now Platformfichier . Vous pouvez également modifier les données d’événement dans MISP à partir du Now Platformfichier .

    Vérification des événements créés automatiquement dans MISP

    Vous pouvez vérifier les événements créés automatiquement après avoir configuré le profil de création d’événements dans votre Now Platform instance.

    Profil de création automatique d’événements

    La configuration du profil de création automatique d’événements est effectuée par les rôles d’utilisateur sn_si.admin ou sn_ti.admin dans le Intégration de MISP > Profils de création automatique d'événements module.

    Affichage des données de l’événement MISP

    Vous pouvez afficher les événements créés des manières suivantes :

    • Affichez les notes de travail pour les événements créés. Vous pouvez afficher les détails de l’événement dans l’instance Now Platform ainsi que tel qu’il apparaît sur le MISP serveur, comme illustré dans l’exemple suivant.
      Figure 1. Notes de travail pour les événements créés
      Affichez les notes de travail pour les événements créés.
    • Cliquez sur la liste connexe Événements MISP associés . Ici, vous pouvez afficher l’événement par rapport à l’incident de sécurité et aux MISP ressources, comme illustré dans l’exemple suivant.
      Figure 2. Liste des événements associés
      Afficher la liste des événements associés
    • Affichez les données d’événement MISP dans la vue de formulaire pour examiner les informations détaillées sur les MISP événements, comme illustré dans l’exemple suivant.
      Figure 3. Données d’événement dans la vue de formulaire
      Affichez les données de l’événement dans la vue de formulaire pour afficher les informations détaillées sur l’événement MISP.

    Créer manuellement un événement dans MISP

    Créez manuellement des événements à MISP partir de pour Now Platform capturer des informations contextuelles représentées sous forme d’attributs et d’objets.

    Avant de commencer

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez créer un événement.
    3. Cliquez sur Créer un nouvel événement dans MISP.
    4. Renseignez les champs de la boîte de dialogue Créer un nouvel événement dans MISP.
      Tableau 1. Créer un événement dans la boîte de dialogue MISP
      Champ Description
      Date Date de création de l’événement en MISP.
      Informations sur l'événement Informations sur l’événement Now Platform Réponse aux incidents de sécuritéqui sont automatiquement créées à partir du .
      Niveau de menace Niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menace différentes (faible, moyenne, élevée). Ce champ peut également rester non défini. Les options sont les suivantes :
      • Faible : programme malveillant de masse général
      • Moyen : menaces persistantes avancées (APT)
      • Élevé : APT sophistiquées et attaques 0-day
      Source MISP Source pour la création de l’événement.
      Distribution Option qui contrôle qui peut voir cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs. Le réglage le plus restrictif l’emporte. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : permet uniquement aux membres de votre organisation de voir cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation a l’accès pour le visualiser. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations présentes sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toute autre organisation connectée à des serveurs liés n’est pas autorisée à afficher l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris toutes les organisations sur ce serveur, toutes les organisations sur MISP les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts. Toutes les autres organisations connectées aux serveurs liés situés à deux sauts de ce serveur ne peuvent pas afficher l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés.
      Analyse Étape actuelle de l’analyse de l’événement avec les options possibles suivantes :
      • Initial : L’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Terminé : l’analyse est terminée
      Options avancées Ajouter les observables associés SIR en tant qu'attributs à l'événement MISP Option permettant d’ajouter des observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs.

      Cette option active l’option Définir le marqueur IDS d’attribut lorsque le résultat observable est malveillant .
      Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Filtrer les observables en fonction des balises de sécurité Option permettant de filtrer les observables en fonction des balises de sécurité sélectionnées. Cette option permet de distinguer et de gérer les événements MISP dans Threat Intelligence.

      Balises de sécurité : ajoutez des balises pour filtrer les observables. Par exemple, si vous ajoutez une balise appelée « Bloquer à partir du partage » ou « TLP : blanc », si l’une de ces balises est associée à l’un des observables, ces observables ne sont pas ajoutés en tant qu’attributs à l’événement MISP lors de la création de l’événement MISP.
      Synchroniser les techniques d’incident de sécurité MITRE ATT&CK en tant que galaxies locales à l’événement MISP Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP .
      Synchroniser les techniques d'incident de sécurité ATT&CK MITRE en tant que galaxies globales à l'événement MISP Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP .
      Ajouter des balises à l’événement MISP Option qui vous permet d’ajouter des balises MISP aux événements créés à partir de ServiceNow. Cette option affiche les options suivantes :
      • Local (balises) :Les balises sélectionnées seront ajoutées en tant que balises locales à l’événement MISP.
      • Global (balises) :Les balises sélectionnées seront ajoutées en tant que balises globales à l’événement MISP.
    5. Cliquez sur Créer un nouvel événement MISP.

      L’exemple suivant montre qu’en créant un événement dans MISP, vous pouvez afficher les résultats dans l’incident de sécurité. Vous pouvez également afficher les notes de travail, l’événement dans l’instance Now Platform et l’événement dans le MISP serveur, comme illustré dans l’exemple suivant.

      Figure 4. Créer manuellement un événement dans MISP à partir de Now Platform
      Créez manuellement un événement dans MISP à partir de Now Platform.
      Vous pouvez afficher les résultats des manières suivantes :
      • Un message de réussite s’affiche en haut de la page de l’incident de sécurité. Vous pouvez afficher les détails de l’événement dans l’instance Now Platform , ainsi que tel qu’il apparaît sur le MISP serveur.
      • Dans les notes de travail, vous pouvez voir le message de réussite avec plus de détails. Vous pouvez également afficher les détails de l’événement dans l’instance Now Platform et tel qu’il apparaît sur le MISP serveur.
      • Dans la liste connexe Événements MISP associés , vous pouvez afficher l’événement par rapport à l’incident de sécurité et aux MISP ressources.

    Ajouter des attributs à un MISP événement

    Ajoutez des attributs à un événement, tels que le type, la catégorie et d’autres informations contextuelles sur l’événement.

    Avant de commencer

    • Examiner le MISP Rôles d’utilisateur et autorisations pour l’utilisation des MISP fonctionnalités bidirectionnelles.
    • Vérifiez que l’événement que vous ajoutez ou mettez à jour l’attribut appartient à la même organisation que l’utilisateur MISP .
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tout > MISP > Événements MISP associés.
      Vous pouvez également accéder à la liste connexe Événement MISP associé dans n’importe quel incident de sécurité.
    2. Cliquez sur l’événement MISP pour lequel vous souhaitez ajouter un attribut.
    3. Cliquez sur Ajouter un attribut à l’événement MISP.
    4. Renseignez les champs de la boîte de dialogue Ajouter un attribut à l’événement.
      Tableau 2. Boîte de dialogue Ajouter un attribut à l’événement
      Champ Description
      Valeur Valeur réelle de l’attribut. Entrez des données sur la valeur en fonction de ce qui est valide pour le type d’attribut choisi. Par exemple, pour un attribut de type ip-src (adresse IP source), 11.11.11.11 est une valeur valide.
      Remarque :
      Vous ne pouvez sélectionner que des attributs ou des observables qui partagent le contexte avec l’événement. Les observables ne peuvent pas déjà avoir un attribut dans MISP.
      Catégorie Catégorie de l’attribut. La catégorie décrit l’aspect du programme malveillant pour cet attribut. Un exemple serait les mécanismes de persistance du logiciel malveillant ou de l’activité du réseau.
      Type Type qui explique la catégorie. Par exemple, si un attaquant utilise une adresse IP pour une attaque, une adresse e-mail source ou un fichier envoyé via une pièce jointe peuvent tous décrire la livraison de la charge utile d’un logiciel malveillant. Ces types d’attributs ont la catégorie de livraison de la charge utile.
      Distribution Utilisateurs pouvant afficher cet attribut. La distribution est héritée par attributs. Le réglage le plus restrictif l’emporte.
      Utiliser l'attribut comme signature IDS Observable marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Commentaires Commentaires que vous ajoutez pour les attributs.

      L’exemple suivant montre qu’en naviguant à partir de la liste Événements MISP associés, vous pouvez afficher l’enregistrement d’événement 5627 et ajouter des attributs à l’événement. Les attributs incluent la valeur (testdomain.com), la catégorie en tant qu’analyse externe et le type en tant que domaine. Vous pouvez également activer IDS. Le message de réussite sur l’enregistrement d’événement indique que l’attribut est ajouté à l’événement, comme illustré dans l’exemple suivant.

      Figure 5. Ajouter un attribut à un événement MISP
      Ajout d’un attribut à un événement MISP.
    5. Cliquez sur Ajouter un attribut à l’événement MISP.

    Résultats

    Vous pouvez afficher l’attribut ajouté dans la section Attributs.

    Ajouter des balises à un MISP événement

    Ajoutez des balises Now Platform MISP pour classer des événements ou des attributs. Vous pouvez utiliser le balisage globalement pour activer votre classification ou utiliser des balises localement lorsque vous ne souhaitez pas que MISP les événements soient modifiés pendant votre classification.

    Avant de commencer

    • Examiner le MISP Rôles d’utilisateur et autorisations pour l’utilisation des MISP fonctionnalités bidirectionnelles.
    • Vérifiez que l’événement que vous modifiez appartient à la même organisation que l’utilisateur MISP .
    • Notez que les balises et les galaxies qui sont à votre disposition sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient l’événement pour lequel vous souhaitez ajouter des balises.
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Résultats de l’enrichissement MISP.
    4. Cliquez sur l’ID d’événement dans la liste des résultats d’enrichissement.
      Vous pouvez également naviguer à partir du MISP > Événements MISP associés module.
    5. Passez en revue l’enregistrement de l’événement MISP.
      Tableau 3. Vue de formulaire d’événement MISP
      Champ Description
      ID d'événement ID d’événement affecté par MISP la date à laquelle l’événement a été créé ou importé pour la première fois dans le MISP serveur.
      UUID ID qui identifie de manière unique les événements et les attributs.
      Org. du créateur Organisation qui a créé l’événement sur l’instance MISP .
      Org. du propriétaire Organisation propriétaire de l’événement sur l’instance MISP . Ce champ n’est visible que par les administrateurs.
      Créateur Utilisateur qui a créé l’événement en MISP.
      Dernier changement Date de la dernière modification de l’événement.
      Source MISP MISP Source où l’événement est créé.
      Date de création (dans MISP) Date à laquelle l’événement a été créé ou importé pour la première fois sur le MISP serveur.
      Niveau de menace Niveau de risque de l’événement. Les incidents peuvent être classés en trois catégories de menace différentes (faible, moyenne, élevée). Ce champ peut rester non défini. Les options sont les suivantes :
      • Faible : programme malveillant de masse général
      • Moyen : menaces persistantes avancées (APT)
      • Élevé : APT sophistiquées et attaques 0-day
      Analyse Étape actuelle de l’analyse de l’événement avec les options possibles suivantes :
      • Initial : L’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Terminé : l’analyse est terminée
      Distribution Distribution de l’attribut individuel. Un attribut peut avoir un niveau de distribution différent de celui de l’événement.
      Publié État indiquant si l’événement a été publié ou non. La publication permet d’utiliser les attributs de l’événement pour toutes les exportations éligibles et informe les utilisateurs qui se sont abonnés aux alertes d’événements.
      Lien hypertexte d'événement MISP Lien vers l’événement MISP stocké sur le MISP serveur.
      Info Brève description de l’événement.
      Balises (locales) Balises disponibles sur l’instance de l’organisation hôte pour activer le balisage pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés MISP lorsque vous utilisez des balises locales. Les balises locales sont toujours supprimées avant d’être synchronisées avec d’autres instances et communautés de MISP partage.
      Balises (globales) Balises disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des balises globales aux MISP instances, vous pouvez modifier les événements.
      Galaxies (locales) Galaxies disponibles sur l’instance de l’organisation hôte pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des galaxies MISP locales. Ces galaxies locales sont toujours dépouillées avant d’être synchronisées avec d’autres MISP instances et communautés de partage.
      Galaxies (globales) Galaxies disponibles dans le monde entier pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des galaxies globales, MISP vous pouvez modifier les événements.
    6. Pour modifier une balise locale ou globale, cliquez sur l’icône Modifier l’icône Modifier. dans l’une des options suivantes :
    • Balises (locales)
    • Balises (globales)
    1. Dans la boîte de dialogue Balises d’événements MISP, entrez le nom de la balise à rechercher et ajoutez les balises.
    2. Cliquez sur Mettre à jour les balises pour l’événement MISP.

      L’exemple suivant montre qu’en cliquant sur l’icône d’édition des balises locales, vous pouvez rechercher et ajouter les balises C3, Adware, C2 et Botnet 3101, et mettre à jour le serveur MISP avec les balises. Le message de confirmation indique que toutes les balises sont mises à jour dans MISP.

      Figure 6. Mise à jour des balises pour l’événement MISP
      Mise à jour des balises pour un événement MISP.
    3. Cliquez sur Recharger le formulaire dans le message de réussite pour afficher les changements dans l’enregistrement.

    Résultats

    Les balises sont mises à jour avec succès dans le MISP serveur.

    Mettre à jour les galaxies vers un événement ou un MISP attribut

    Ajoutez ou supprimez des galaxies afin Now Platform MISP de classer ces objets comme un amas dans l’instance MISP et de les associer à des événements ou à MISP des attributs.

    Avant de commencer

    • Examiner le MISP Rôles d’utilisateur et autorisations requis pour utiliser les MISP fonctionnalités bidirectionnelles.
    • Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    • Les balises et les galaxies disponibles sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Cliquez sur l’icône de modification Icône Modifier. dans l’une des options suivantes.
    • Galaxies (locales)
    • Galaxies (globales)
    1. Dans la boîte de dialogue Galaxies d’événements MISP, tapez et recherchez pour ajouter les balises.
    2. Cliquez sur Mettre à jour les galaxies vers l’événement MISP.

      L’exemple suivant montre comment cliquer sur l’icône d’édition pour les galaxies locales, sélectionner l’espace de noms déconseillé, sélectionner la galaxie Enterprise Attack - Attack Pattern et ajouter des informations sur l’amas. Une fois les informations de la galaxie mises à jour, vous pouvez afficher le message de réussite.

      Figure 7. Mettre à jour les informations de la galaxie sur l’événement MISP
      Mise à jour des informations de la galaxie sur l’événement MISP.
      Les galaxies sont mises à jour avec succès dans le MISP serveur.
    3. Cliquez sur Recharger le formulaire dans le message de réussite pour afficher les changements dans l’enregistrement.