Recherches de perception dans MISP

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • Vous pouvez effectuer des recherches de perception sur les observables de l’instance MISP pour déterminer la fréquence à laquelle certains types d’attaques, telles que les attaques de hameçonnage ou les communications avec une adresse IP ou une URL malveillante, se produisent dans votre réseau. Chaque occurrence est considérée comme une observation.

    Perceptions dans MISP

    Les observations indiquent qu’un indicateur, un objet ou un attribut a été vu et que sa validité est confirmée. Sightings in MISP est un système qui vous permet de répondre aux attributs d’un événement. Il est conçu pour fournir à vos utilisateurs une méthode simple pour confirmer qu’ils ont vu un attribut donné, ce qui lui donne plus de crédibilité. Vous pouvez voir un attribut plusieurs fois.
    Remarque :
    Les observables sont connus sous le nom d’attributs dans MISP.

    Certains attributs sont considérés comme des faux positifs, ce qui signifie qu’il ne s’agit pas d’observations valides. D’autres attributs ne sont valides que pour une certaine durée, comme une campagne d’hameçonnage qui ne dure qu’une semaine. Vous pouvez affecter une date d’expiration aux attributs valides pour une certaine durée, mais chaque organisation ne peut affecter qu’une seule date d’expiration valide à un attribut.

    Les perceptions qui sont créées MISP par les utilisateurs d’organisations marquées comme locales dans le serveur MISP correspondant sont appelées perceptions internes. Les perceptions qui sont créées MISP par les utilisateurs d’organisations qui sont marquées comme distantes dans le serveur correspondant MISP sont appelées perceptions externes.

    Recherches de perception dans SIR

    Le workflow Security Operations Integration - Recherche de perceptions exécute la recherche de perceptions. Ce workflow accepte une liste d’observables, trouve toutes les options d’implémentation, crée les requêtes basées sur les configurations de recherche de perception et exécute les recherches basées sur le workflow configuré.

    Les recherches de perception aident les analystes à déterminer la prévalence d’une menace dans le temps. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates pour votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans les listes connexes Perceptions d’incident de sécurité, Résultats de recherche de perceptions et Détails de recherche de perceptions .

    Lorsque vous commencez à analyser un incident, vous pouvez configurer votre Now Platform organisation pour effectuer automatiquement une recherche de perceptions ou effectuer manuellement une recherche de perceptions observables afin d’identifier les autres utilisateurs de votre organisation qui sont touchés par la même attaque de hameçonnage.

    Activer les recherches automatiques de perception dans MISP

    Activez l’exécution automatique de la recherche de perception dans MISP afin que le workflow Intégration de Security Operations - Recherche de perceptions soit déclenché chaque fois que de nouveaux observables sont associés à un incident de sécurité.

    Avant de commencer

    Vérifiez que le Profil de configuration de la recherche de perceptions pour MISP est actif.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Si vous activez l’aptitude de recherche de perception pour qu’elle s’exécute automatiquement dans le MISP Configuration de l’intégration, la recherche de perception dans MISP se déclenche lorsque de nouveaux observables sont associés à un incident de sécurité. Par défaut, l’option Exécuter automatiquement la recherche de perception lorsque de nouveaux observables sont associés à l’incident de sécurité est activée.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables que vous souhaitez afficher dans les données de recherche de MISP perceptions.
    3. Examinez les notes de travail après que de nouveaux observables ont été associés à l’incident de sécurité.
      Une note de travail est publiée lorsque le workflow Security Operations Integration - Recherche de perceptions est déclenché.

      L’exemple suivant montre la section des notes de travail.

      Affichez les notes de travail et vérifiez si le workflow de recherche de perceptions s’est déclenché.
    4. Affichez les informations agrégées des observables qui sont observés dans tous les événements (globaux) et classés par leurs perceptions internes ou externes une fois l’exécution du workflow terminée.
      Consultez les informations contenues dans les listes connexes Perceptions, Résultats de recherche de perceptions et Détails de recherche de perceptions . L’exemple suivant montre l’enregistrement de recherche de perceptions qui a été créé dans la liste connexe Perceptions.
      Affichez l’enregistrement de recherche de perceptions qui a été créé dans l’onglet Perceptions.
      Tableau 1. Enregistrement de recherche de perceptions
      Champ Description
      Créé Date et heure de création de l’enregistrement de recherche de perceptions.
      Observable Observable recherché par la requête.
      Nombre de perception Nombre de perceptions internes et externes.
      Source Source de l’observable. Si l’observable provient d’une MISP organisation, l’enregistrement est précédé des mots MISP.
      Est local État indiquant si l’observation a été signalée par un utilisateur interne.
      Lien de recherche sur la perception Lien de recherche de perception dans l’instance MISP .
      Résumé Type d’observations associées à l’enregistrement. Les trois types d’observations sont la perception, le faux positif et l’expiration.

      La colonne Résumé s’affiche uniquement lorsque le Intégration de MISP pour Opérations de sécurité est installé. Si d’autres sources que MISP s’affichent, l’entrée de colonne Résumé est vide pour cet enregistrement.

    Effectuer une recherche manuelle de perception dans MISP

    Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle dans l’application pour déterminer la prévalence d’une menace dans le Now Platform Intégration de MISP pour Opérations de sécurité temps.

    Avant de commencer

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez exécuter la MISP recherche de perceptions.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Exécuter la recherche de perceptions.
      Vous pouvez sélectionner plusieurs observables pour une recherche d’observations.
      La boîte de dialogue Exécuter la recherche de perceptions s’ouvre.
    5. Spécifiez la plage de dates pour rechercher les données de recherche d’observations.
      Tableau 2. Boîte de dialogue Exécuter la recherche d’observations
      Champ Description
      Dernier Nombre d’heures ou de jours avant la création de l’incident à rechercher.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont les suivantes :
      • Date et heure de création de l’incident.
      • Date et heure précédant sept jours l’ouverture de l’incident.
    6. Cliquez sur Rechercher.
      L’exemple suivant montre les résultats de la recherche manuelle de perception dans les notes de travail.
      Résultats de la recherche de perception manuelle dans les notes de travail.

    Résultats

    Un enregistrement de recherche de perceptions est créé. Une fois l’exécution du workflow terminée, vous pouvez afficher les informations agrégées des observables observables sur tous les événements (globaux) et classés par leurs perceptions internes ou externes. Les données de perception agrégées et associées sont affichées dans l’incident de sécurité sous les listes connexes Perceptions, Résultats de recherche de perceptions et Détails de recherche de perceptions .

    Signaler des observations à MISP

    Signalez les perceptions de données sur les menaces afin de pouvoir réagir aux faux positifs dans vos données et d’accroître votre sensibilisation lorsqu’une menace réellement positive se produit. Vous pouvez également ajouter une date d’expiration pour un observable ou un attribut particulier.

    Avant de commencer

    Pourquoi et quand exécuter cette tâche

    Le Intégration de MISP pour Opérations de sécurité vous permet de rapporter des observations à l’échelle MISP globale pour tous les événements. Pour signaler une observation à un événement spécifique, vous devez utiliser l’instance MISP et signaler l’observation localement.

    Pour signaler une observation à MISP, l’observable ou l’attribut doit être disponible dans l’instance MISP .

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez signaler les observations MISP .
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Observations.
    4. Sélectionnez l’observable et, dans le menu Actions, sélectionnez l’une des options suivantes.
      OptionDescription
      MISP : signaler une observation observable Signaler l’observable comme vu à MISP. Si l’observable est associé à plusieurs événements, il est mis à jour dans tous les événements.
      MISP : signaler un observable comme faux positif Signaler l’observable comme faux positif à .MISP
      MISP : signaler un observable comme expiré Signaler l’observable comme expiré à MISP.
      Si vous sélectionnez des observables qui ne sont pas spécifiques à une MISP source, le menu Actions affiche le nombre de sources pertinentes MISP . L’exemple suivant montre que quatre observables sur huit sont pertinents pour MISP. L’exemple suivant montre le menu Actions et les observables pertinents pour la soumission.
      Figure 1. Menu Actions qui affiche les observables pertinents pour la soumission
      Le menu Actions affiche les observables pertinents pour MISP.
    5. Facultatif : Si vous avez sélectionné l’option MISP : signaler une observation observable , vous devez remplir les champs de la boîte de dialogue Signaler une observation observable vers MISP.
      Tableau 3. Boîte de dialogue Signaler une observation observable à MISP
      Champ Description
      Source Champ source qui correspond à la MISP source de l’observation.
      Date Champ de date qui correspond à la date à laquelle l’observable est observé. Si la date est vide, la date et l’heure actuelles sont renseignées au format MISP.

      L’exemple suivant montre comment accéder à la liste connexe Observations dans l’incident de sécurité. Dans cette liste, vous pouvez sélectionner un observable et signaler l’observation observable à MISP. Le message de réussite indique que l’observation a été soumise avec succès à MISP.

      Figure 2. Signale la perception observable à MISP
      Signale la perception observable à MISP
      1. Cliquez sur Signaler une observation.
    6. Facultatif : Si vous avez sélectionné l’option MISP : signaler un observable comme faux positif , vous devez renseigner les champs de la boîte de dialogue Signaler un observable comme faux positif vers MISP .
      Tableau 4. Signaler l’observable comme faux positif dans la boîte de MISP dialogue
      Champ Description
      Source (facultatif) Champ source correspondant à la MISP source. Utilisez ce champ pour déclarer l’observable comme faux positif.
      Date Champ de date correspondant à la date à laquelle l’observable s’est avéré être un faux positif. Si la date est vide, la date et l’heure actuelles sont renseignées au format MISP.
      1. Cliquez sur Signaler un faux positif.
    7. Facultatif : Si vous avez sélectionné l’option MISP : signaler un observable comme expiré , vous devez renseigner les champs de la boîte de dialogue Signaler l’expiration de l’observable à MISP .
      Tableau 5. Boîte de dialogue Signaler l’expiration de l’observable à MISP
      Champ Description
      Source Champ source correspondant à la MISP source. Utilisez ce champ pour définir un observable comme expiré.
      Date Champ de date qui correspond à la date à laquelle l’observable a expiré. Si la date est vide, la date et l’heure actuelles sont renseignées au format MISP.
      1. Cliquez sur Expiration du rapport.

    Résultats

    Les perceptions sont mises à jour avec succès sur le MISP serveur.