Enrichissement des observables dans MISP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 10 minutes de lecture

    • En enrichissant les observables avec des informations supplémentaires provenant de diverses MISP sources au cours des enquêtes de réponse aux incidents, vous pouvez contenir les menaces identifiées.

    Activer l’enrichissement automatique des observables dans MISP

    Activez l’enrichissement Now Platform MISP automatique des observables lorsque de nouveaux observables sont associés à l’incident de sécurité.

    Avant de commencer

    • Activer la Réponse aux incidents de sécurité propriété système pour l’option Active ou désactive la tâche planifiée, Rechercher des observables d’incident de sécurité pour déclencher l’aptitude d’enrichissement des observables dans SIR.
    • Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour MISP lesquels vous souhaitez enrichir les données observables.
    3. Examinez les notes de travail après que de nouveaux observables ont été associés à l’incident de sécurité.

      L’exemple suivant montre qu’une note de travail est publiée lorsque le flux Intégration de Security Operations - Enrichissement des observables se déclenche.

      Affichez les notes de travail concernant l’état d’enrichissement des observables.

    4. Dans la MISP liste connexe Résultats de l’enrichissement de l’incident de sécurité, affichez les résultats de l’enrichissement une fois l’exécution du flux terminée.
      Affichez les notes de travail concernant l’état d’enrichissement de l’observable une fois l’exécution terminée.
      Remarque :
      Vous devez configurer pour que la liste connexe des résultats de l’enrichissement MISP apparaisse dans les listes connexes des incidents de sécurité. Pour plus d’informations, consultez Configuration des listes connexes.
      L’exemple suivant montre les résultats d’enrichissement dans le MISPfichier .
      Affichez les résultats de l’enrichissement dans l’onglet Résultats de l’enrichissement MISP.
      Le tableau suivant présente les résultats de l’enrichissement MISP.
      Tableau 1. Résultats de l'enrichissement MISP
      Champ Description
      Événement ID de l’événement. Cliquez sur Ouvrir pour afficher l’enregistrement dans l’instance Now Platform .
      Org Organisation qui a initialement créé l’événement.
      Observable Observable associé à l’événement.
      Catégorie Catégorie de l’attribut.

      Consultez la liste des catégories dans la documentation MISP.
      Type Type de l’attribut.

      Consultez la liste des types dans la documentation MISP.
      Balises MISP Liste des balises associées à l’attribut MISP .
      Galaxies MISP Liste des galaxies associées à l’attribut MISP .
      Commentaire Commentaire contextuel permettant de décrire plus précisément l’attribut. Ces commentaires ne sont pas utilisés à des fins de corrélation et sont purement informatifs.
      IDS Indicateur de compromis, qui lui permet d’être inclus dans toutes les exportations éligibles.
      Distribution Distribution de l’attribut après sa publication. Un attribut peut avoir un niveau de distribution différent de celui de l’événement. Dans les deux cas, le niveau de distribution le plus bas est utilisé.
      Lien hypertexte vers l'événement MISP Lien vers l’événement MISP , qui est stocké sur le MISP serveur.
      Fournisseur de l'intégration Fournisseur d’intégration qui fournit les données pour l’enrichissement.
      Données brutes Données brutes associées à l’attribut MISP .

    Effectuer un enrichissement manuel de l’observable dans MISP

    Sélectionnez un ou plusieurs observables et effectuez un enrichissement manuel des observables afin de pouvoir enrichir les observables avec des informations supplémentaires provenant de diverses MISP sources.

    Avant de commencer

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez effectuer l’enrichissement.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Sélectionnez l’observable et, dans le menu Actions, cliquez sur Exécuter l’enrichissement de l’observable.
      Vous pouvez sélectionner plusieurs observables pour une recherche d’observations.
      La boîte de dialogue Exécuter l’enrichissement de l’observable s’affiche.
    5. Sélectionnez une MISP source et, dans la colonne Sélectionné, sélectionnez une implémentation pour enrichir les observables sélectionnés.
    6. Cliquez sur Envoyer.
      Une note de travail indique que le workflow Intégration de Security Operations - Enrichissement des observables s’est déclenché. Les workflows d’implémentation associés s’exécutent pour effectuer l’enrichissement. Vous pouvez afficher les notes de travail dans l’incident de sécurité pour afficher l’état.

      L’exemple suivant montre comment afficher les notes de travail pour un enrichissement manuel de l’observable.

      Figure 1. Notes de travail pour l’enrichissement manuel des observables
      Affichez les notes de travail pour un enrichissement manuel des observables.
      Le message d’enrichissement répertorie l’événement créé. Vous pouvez afficher l’événement dans le Now Platform ou dans l’instance MISP et afficher les détails de l’enregistrement dans l’onglet Résultats de l’enrichissement MISP.

    Ajouter ou supprimer des balises aux MISP attributs

    Ajoutez ou supprimez des balises pour MISP classer des événements ou des attributs. Vous pouvez utiliser le balisage globalement pour activer votre classification ou utiliser des balises localement lorsque vous ne souhaitez pas que MISP les événements soient modifiés pendant votre classification.

    Avant de commencer

    • Examiner le MISP Rôles d’utilisateur et autorisations pour l’utilisation des MISP fonctionnalités bidirectionnelles.
    • Vérifiez que l’attribut que vous modifiez appartient à la même organisation que l’utilisateur MISP .
    • Notez que les balises et les galaxies qui sont à votre disposition sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables, les attributs ou les événements pour lesquels vous souhaitez ajouter les balises.
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Résultats de l’enrichissement MISP.
    4. Cliquez sur l’icône d’aperçu Icône d’aperçu en regard d’un enregistrement, puis cliquez sur Ouvrir l’enregistrement.
      L’exemple suivant montre comment examiner les résultats d’enrichissement MISP et comment ouvrir un MISP enregistrement d’enrichissement.
      Figure 2. Enregistrement du résultat d’enrichissement MISP
    5. Passez en revue l’enregistrement des résultats de l’enrichissement MISP.
      Tableau 2. Résultat de l'enrichissement MISP
      Champ Description
      Observable
      Événement ID d’événement affecté par le serveur lors de la MISP première création ou importation de l’événement dans MISP.

      Prévisualisez l’événement ou cliquez sur l’enregistrement pour afficher les données de l’événement dans la page Données de l’événement MISP .
      Org Organisation qui a créé l’attribut MISP .
      Catégorie Catégorie de l’attribut que vous ajoutez à l’événement spécifique dans MISP. Vous pouvez sélectionner une option telle qu’une référence interne, l’activité réseau, la fraude financière, etc.
      Type Type d’attribut MISP .
      Fournisseur de l'intégration Fournisseur d’intégration qui fournit les données pour l’enrichissement des observables.
      Date de création (dans MISP) Date de création ou d’importation initiale de l’événement dans MISP.
      IDS État indiquant si un observable est marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme vrai.
      Distribution Contrôles des options de distribution, tels que les personnes qui peuvent voir cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs, et le paramètre le plus restrictif l’emporte. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : permet uniquement aux membres de votre organisation de voir cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation a l’accès pour le visualiser. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté d’afficher l’événement, y compris votre propre organisation, les organisations présentes sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toute autre organisation connectée à ces serveurs liés n’est pas autorisée à visionner l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement (y compris toutes les organisations sur ce serveur, toutes les organisations sur MISP les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts). Toute autre organisation connectée aux serveurs liés situés à deux sauts de distance n’est pas autorisée à afficher l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés, ce qui permet à l’événement d’être disponible gratuitement.
      Lien hypertexte vers l'événement MISP Lien vers l’événement MISP stocké sur le MISP serveur.
      Données brutes Détails bruts pour l’enregistrement de données d’enrichissement observable.
      Commentaire Commentaires que vous ajoutez pour les attributs. Ces commentaires sont fournis à titre informatif uniquement et ne sont pas utilisés à des fins de corrélation.
      Balises (locales) Balises disponibles sur l’instance de l’organisation hôte pour activer le balisage pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés MISP lorsque vous utilisez des balises locales. Ces balises sont toujours supprimées avant d’être synchronisées avec d’autres instances et communautés de MISP partage.
      Balises (globales) Balises disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des balises globales aux MISP instances, vous modifiez les événements.
      Galaxies (locales) Galaxies disponibles sur l’instance de l’organisation hôte pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des galaxies MISP locales. Ces galaxies sont toujours dépouillées avant d’être synchronisées avec d’autres MISP instances et communautés de partage.
      Galaxies (globales) Galaxies disponibles dans le monde entier pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des galaxies globales, MISP les événements sont modifiés.
    6. Pour modifier une balise locale ou globale, cliquez sur l’icône Modifier l’icône Modifier. dans l’une des options suivantes :
    • Balises (locales)
    • Balises (globales)
    1. Dans la boîte de dialogue Balises d’attributs MISP, entrez le nom de la balise à rechercher et ajoutez-la.
    2. Cliquez sur Mettre à jour les balises vers l’attribut MISP.

      L’exemple suivant montre qu’en cliquant sur l’icône d’édition des balises locales, vous pouvez rechercher et ajouter les balises C3, Adware, C2 et Botnet 3101, et mettre à jour le serveur MISP avec les balises. Le message de confirmation indique que toutes les balises ont été mises à jour dans MISP.

      Les balises sont mises à jour avec succès dans le MISP serveur.
    3. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Ajouter ou supprimer des galaxies à un événement ou à un MISP attribut

    Ajoutez ou supprimez des galaxies afin MISP de classer ces objets en tant qu’amas et MISP de les associer à des événements ou à MISP des attributs.

    Avant de commencer

    • Examiner le MISP Rôles d’utilisateur et autorisations pour l’utilisation des MISP fonctionnalités bidirectionnelles.
    • Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    • Notez que les balises et les galaxies qui sont à votre disposition sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Cliquez sur l’icône de modification Icône Modifier. dans l’une des options suivantes.
    • Galaxies (locales)
    • Galaxies (globales)
    1. Dans la boîte de dialogue Galaxies d’événements MISP, renseignez les détails.
      Tableau 3. Boîte de dialogue Galaxies d’événements MISP
      Champ Description
      ID d'événement ID d’événement affecté par le serveur lors de la MISP première création ou importation de l’événement dans MISP.
      Espace de noms Espace de noms dans lequel la galaxie est stockée. Vous pouvez utiliser des espaces de noms pour regrouper des galaxies similaires.
      Galaxies Galaxie dans laquelle vous stockez les informations du cluster.
      Grappes Informations sur les amas de la galaxie.
    2. Cliquez sur Mettre à jour les galaxies vers l’attribut MISP.
      L’exemple suivant montre qu’en cliquant sur l’icône d’édition des galaxies locales, vous pouvez sélectionner l’espace de noms déconseillé, sélectionner la galaxie Attaque Enterprise - Modèle d’attaque et ajouter les informations du cluster. Une fois les informations de la galaxie mises à jour, vous pouvez afficher le message de réussite.

    3. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Résultats

    Les informations de la galaxie sont mises à jour avec succès dans le MISP serveur.

    Ajouter des commentaires à l’attribut MISP

    Ajoutez des commentaires pour les MISP attributs. Les commentaires que vous ajoutez le sont uniquement à des fins d’information et ne sont pas utilisés à des fins de corrélation des MISP données.

    Avant de commencer

    Procédure

    1. Cliquez sur l’icône Modifier dans le champ Commentaire .
    2. Saisissez votre commentaire dans le champ Commentaire d’attribut.
    3. Cliquez sur Mettre à jour le commentaire sur l’attribut MISP.
      L’exemple suivant montre qu’en cliquant sur l’icône de modification en regard du champ de commentaire, vous pouvez ajouter un commentaire, puis mettre à jour l’attribut MISP . Une fois le commentaire mis à jour, vous pouvez afficher le message de réussite.

    4. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Résultats

    Le commentaire est mis à jour avec succès dans le MISP serveur.