Intégration de MISP pour Opérations de sécurité

Rversion finale: Xanadu

Mis à jour 1 août 2024

5 minutes de lecture

Avec Intégration de MISP pour Opérations de sécurité, vous pouvez enquêter sur les incidents de sécurité à l’aide de recherches de perception, de l’enrichissement des observables et de la création ou de la mise à jour d’événements dans MISP. En utilisant MISP, vous pouvez enquêter plus rapidement sur les attaques ciblées, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

Demander des applications dans l'App Store

Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

MISP Vue d'ensemble

MISP, qui signifie Malware Information Sharing Platform, vous permet d’échanger et de partager des renseignements sur les menaces et des indicateurs de compromission (IoC) sur les logiciels malveillants et les attaques ciblés au sein de votre communauté de membres de confiance. Vous pouvez également partager MISP des informations avec des communautés privées ou ouvertes. En échangeant MISP des informations, vous pouvez enquêter plus rapidement sur les attaques ciblées, améliorer le taux de détection et réduire le nombre de faux positifs dans votre environnement.

MISP et Security Operations

Consultez l’exemple suivant pour découvrir comment les informations circulent avec les MISP applications Security Operations.

Comment MISP s’intègre aux applications Security Operations ? — Figure 1. Vue d’ensemble de MISP et Security Operations

Fonctionnalités principales

Cette intégration comprend les choses que vous pouvez faire avec les MISP fonctionnalités clés :

Connectez-vous au privé et au public MISP instances.
Prise en charge de la recherche de perception manuelle et automatique des observables.
Exécution de la recherche de perception à partir de la gestion des tickets.
Signaler ou mettre à jour des observations pour un attribut :
- Signaler un observable comme observation (global)
- Signaler un observable comme faux positif (global)
- Signaler un observable comme expiré
Prise en charge de l’enrichissement manuel et automatique des observables. Les résultats incluent les informations d’attribut MISP et d’événement associées aux observables.
Enrichissement des attributs, y compris MISP l’ajout ou la mise à jour de balises, de galaxies ou de commentaires. Ajouter ou supprimer des galaxies à un événement ou à un MISP attribut
Création d’événements dans MISP de SIR: prend en charge la création manuelle et automatique d’événements dans MISP à partir de SIR.
Mettre à jour un événement à partir duquel il inclut l’ajout MISPSIR ou la mise à jour de balises, de galaxies ou d’attributs.
Ajouter des observables associés à un incident de sécurité en tant qu’attributs MISP event.
Extraction automatique MITRE-ATT&CK™ Informations provenant de MISP attributs et associer les informations à SIR des incidents de sécurité.
Ajouter automatiquement SIR MITRE-ATT&CK™ l’information sous forme de galaxies à un MISP event.

Concepts clés

Cette intégration comprend les concepts clés suivants que vous devez connaître :

MISP est une plateforme de renseignements sur les menaces (TIP). Les TIP vous permettent de collecter, de corréler, de catégoriser, de partager et d’intégrer des données sur les menaces de sécurité en temps réel afin de faciliter la hiérarchisation des actions et de faciliter la prévention, la détection et la réponse aux attaques.
MISP est un TIM (Threat Intelligence Management). Les TIM vous permettent de transformer les données sur les menaces en renseignements sur les menaces par le biais du contexte et de hiérarchiser automatiquement les menaces en fonction de la notation et de la pertinence définies par l’utilisateur.
MISP Couche de données
- Les événements sont des encapsulations d’informations contextuellement liées.
- Les attributs sont des points de données individuels, qui peuvent être des indicateurs ou des données associées.
- Les objets sont des compositions d’attributs de modèle personnalisées.
- Les références d’objet sont les relations entre les autres blocs de construction.
- Les perceptions sont des occurrences temporelles spécifiques d’un point de données détecté.
MISP Couche de contexte
- Les balises sont des étiquettes attachées à des événements ou à des attributs et peuvent provenir de taxonomies.
- Les amas de galaxies sont des éléments de base de connaissances que vous pouvez utiliser pour étiqueter des événements ou des attributs provenant de galaxies.
- Les relations de grappes désignent des relations prédéfinies entre les grappes.
Les indicateurs contiennent un modèle que vous pouvez utiliser pour détecter les cyber-activités suspectes ou malveillantes.
Il MISP peut s’agir d’indicateurs de réseau (adresse IP), d’indicateurs système (une chaîne en mémoire) ou même de détails de compte bancaire. Les attributs dans MISP sont connus sous le nom d’observables dans d’autres SIEM ou formats tels que STIX.
- Un type décrit l’attribut. Par exemple, MD5 ou une URL.
- La catégorie de l’attribut décrit un attribut. Par exemple, une livraison de charge utile.
- Une balise IDS détermine si un attribut peut être automatiquement utilisé pour la détection.

Remarque :

Pour plus d’informations sur MISP les concepts, consultez le site Web de la documentation MISP

Comment votre organisation peut-elle bénéficier des avantages suivants ? Intégration de MISP pour Opérations de sécurité

Les analystes de sécurité doivent acquérir et maintenir une connaissance situationnelle du paysage des menaces, ce qui signifie qu’ils doivent consolider et intégrer manuellement une quantité écrasante de données sur les menaces. La collecte, la consolidation et l’intégration de ces données prennent un temps précieux, ce qui ralentit la détection et l’analyse des menaces. Intégration de MISP pour Opérations de sécurité Permet aux analystes de détecter davantage de menaces et de réagir plus rapidement en intégrant les MISP renseignements de sécurité dans une instance existante Now Platform .

À l’aide de , Intégration de MISP pour Opérations de sécuritévotre organisation peut effectuer les actions suivantes :

Permettez à vos analystes de sécurité de réagir rapidement et dans le bon contexte.
Améliorez l’efficacité de votre équipe de sécurité en automatisant les flux d’incidents pour détecter et contenir les menaces.
Réduisez le temps de recherche manuelle et permettez aux analystes de sécurité de rendre opérationnels et d’organiser les indicateurs à partir du Now Platformfichier .

En savoir plus sur cette intégration


Identificateur de document	Titre de document
MISP site web de documentation	Site web de la documentation MISP
ServiceNow site web de la documentation produit	Site web de la documentation produit ServiceNow