Intégration de MISP pour Opérations de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Avec Intégration de MISP pour Opérations de sécurité, vous pouvez enquêter sur les incidents de sécurité à l’aide de recherches de perception, de l’enrichissement des observables et de la création ou de la mise à jour d’événements dans MISP. En utilisant MISP, vous pouvez enquêter plus rapidement sur les attaques ciblées, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    MISP Vue d'ensemble

    MISP, qui signifie Malware Information Sharing Platform, vous permet d’échanger et de partager des renseignements sur les menaces et des indicateurs de compromission (IoC) sur les logiciels malveillants et les attaques ciblés au sein de votre communauté de membres de confiance. Vous pouvez également partager MISP des informations avec des communautés privées ou ouvertes. En échangeant MISP des informations, vous pouvez enquêter plus rapidement sur les attaques ciblées, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

    MISP et Security Operations

    Consultez l’exemple suivant pour découvrir comment les informations circulent avec les MISP applications Security Operations.

    Figure 1. Vue d’ensemble de MISP et Security Operations
    Comment MISP s’intègre aux applications Security Operations ?

    Fonctionnalités principales

    Cette intégration comprend les choses que vous pouvez faire avec les MISP fonctionnalités clés :

    Concepts clés

    Cette intégration comprend les concepts clés suivants que vous devez connaître :
    • MISP est une plateforme de renseignements sur les menaces (TIP). Les TIP vous permettent de collecter, de corréler, de catégoriser, de partager et d’intégrer des données sur les menaces de sécurité en temps réel afin de faciliter la hiérarchisation des actions et de faciliter la prévention, la détection et la réponse aux attaques.
    • MISP est un TIM (Threat Intelligence Management). Les TIM vous permettent de transformer les données sur les menaces en renseignements sur les menaces par le biais du contexte et de hiérarchiser automatiquement les menaces en fonction de la notation et de la pertinence définies par l’utilisateur.
    • MISP Couche de données
      • Les événements sont des encapsulations d’informations contextuellement liées.
      • Les attributs sont des points de données individuels, qui peuvent être des indicateurs ou des données associées.
      • Les objets sont des compositions d’attributs de modèle personnalisées.
      • Les références d’objet sont les relations entre les autres blocs de construction.
      • Les perceptions sont des occurrences temporelles spécifiques d’un point de données détecté.
    • MISP Couche de contexte
      • Les balises sont des étiquettes attachées à des événements ou à des attributs et peuvent provenir de taxonomies.
      • Les amas de galaxies sont des éléments de base de connaissances que vous pouvez utiliser pour étiqueter des événements ou des attributs provenant de galaxies.
      • Les relations de grappes désignent des relations prédéfinies entre les grappes.
    • Les indicateurs contiennent un modèle que vous pouvez utiliser pour détecter les cyber-activités suspectes ou malveillantes.
    • Il MISP peut s’agir d’indicateurs de réseau (adresse IP), d’indicateurs système (une chaîne en mémoire) ou même de détails de compte bancaire. Les attributs dans MISP sont connus sous le nom d’observables dans d’autres SIEM ou formats tels que STIX.
      • Un type décrit l’attribut. Par exemple, MD5 ou une URL.
      • La catégorie de l’attribut décrit un attribut. Par exemple, une livraison de charge utile.
      • Une balise IDS détermine si un attribut peut être automatiquement utilisé pour la détection.
    Remarque :
    Pour plus d’informations sur MISP les concepts, consultez le site Web de la documentation MISP

    Comment votre organisation peut-elle bénéficier des avantages suivants ? Intégration de MISP pour Opérations de sécurité

    Les analystes de sécurité doivent acquérir et maintenir une connaissance situationnelle du paysage des menaces, ce qui signifie qu’ils doivent consolider et intégrer manuellement une quantité écrasante de données sur les menaces. La collecte, la consolidation et l’intégration de ces données prennent un temps précieux, ce qui ralentit la détection et l’analyse des menaces. Intégration de MISP pour Opérations de sécurité Permet aux analystes de détecter davantage de menaces et de réagir plus rapidement en intégrant les MISP renseignements de sécurité dans une instance existante Now Platform .

    À l’aide de , Intégration de MISP pour Opérations de sécuritévotre organisation peut effectuer les actions suivantes :

    • Permettez à vos analystes de sécurité de réagir rapidement et dans le bon contexte.
    • Améliorez l’efficacité de votre équipe de sécurité en automatisant les flux d’incidents pour détecter et contenir les menaces.
    • Réduisez le temps de recherche manuelle et permettez aux analystes de sécurité de rendre opérationnels et d’organiser les indicateurs à partir du Now Platformfichier .

    En savoir plus sur cette intégration

    Identificateur de document Titre de document
    MISP site web de documentation Site web de la documentation MISP
    ServiceNow site web de la documentation produit Site web de la documentation produit ServiceNow