Recherches de perception dans MISP

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 8 minutes de lecture

    • Vous pouvez effectuer des recherches de perception sur les observables de l’instance MISP pour déterminer la fréquence à laquelle certains types d’attaques, tels que les attaques d’hameçonnage ou les communications avec une adresse IP ou une URL malveillante, se produisent sur votre réseau. Chaque occurrence est considérée comme une observation.

    Perceptions dans MISP

    Les observations indiquent qu’un indicateur, un objet ou un attribut a été vu et que sa validité est confirmée. Sightings in MISP est un système qui vous permet de répondre aux attributs d’un événement. Il est conçu pour fournir une méthode facile à vos utilisateurs pour confirmer qu’ils ont vu un attribut donné, ce qui lui donne plus de crédibilité. Vous pouvez voir un attribut plusieurs fois.
    Remarque :
    Les observables sont appelés attributs dans MISP.

    Certains attributs sont considérés comme des faux positifs, ce qui signifie qu’il ne s’agit pas d’observations valides. D’autres attributs ne sont valides que pendant une certaine durée, comme une campagne d’hameçonnage qui ne dure qu’une semaine. Vous pouvez affecter une date d’expiration aux attributs qui sont valides pour une certaine durée, mais chaque organisation ne peut affecter qu’une seule date d’expiration valide à un attribut.

    Les perceptions créées MISP par les utilisateurs des organisations marquées comme locales dans le serveur MISP correspondant sont appelées perceptions internes. Les perceptions créées MISP par les utilisateurs des organisations marquées comme distantes dans le serveur correspondant MISP sont appelées perceptions externes.

    Recherches de perception dans SIR

    Le workflow Security Operations Integration - Sightings Search exécute la recherche de perceptions. Ce flux accepte une liste d’observables, recherche les options en cours d’implémentation, crée les requêtes basées sur les configurations de recherche de perceptions et exécute les recherches basées sur le flux configuré .

    Les recherches de perception aident les analystes à déterminer la prévalence d’une menace au fil du temps. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates de votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans les listes connexes Détections d’incidents de sécurité, Résultats de recherche de perception et Détails de recherche de perceptions .

    Lorsque vous commencez à analyser un incident, vous pouvez configurer votre Now Platform pour effectuer automatiquement une recherche de perceptions ou effectuer manuellement une recherche de perceptions observables afin d’identifier les autres utilisateurs de votre organisation qui sont impactés par la même attaque de phishing.

    Activer les recherches automatiques de perception dans MISP

    Activez l’exécution automatique de la recherche de perception dans MISP afin que le workflow Security Operations Integration - Recherche de perceptions soit déclenché chaque fois que de nouveaux observables sont associés à un incident de sécurité.

    Avant de commencer

    Vérifiez que le Profil de configuration de la recherche de perceptions pour MISP est actif.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Si vous activez l’aptitude de recherche de perception à exécuter automatiquement dans le MISP Configuration de l’intégration, la recherche de perception dans MISP se déclenche lorsque de nouveaux observables sont associés à un incident de sécurité. Par défaut, l’option Exécuter automatiquement la recherche de perception lorsque de nouveaux observables sont associés à l’incident de sécurité est activée.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables que vous souhaitez afficher dans les données de recherche d’observations MISP .
    3. Examinez les notes de travail après que de nouveaux observables ont été associés à l’incident de sécurité.
      Une note de travail est publiée lorsque le workflow Security Operations Integration - Recherche de perceptions s’est déclenché.

      L’exemple suivant montre la section des notes de travail.

      Affichez les notes de travail et vérifiez si le workflow de recherche de perceptions s’est déclenché.
    4. Affichez les informations agrégées des observables qui sont vues dans tous les événements (globaux) et classées en fonction de leurs perceptions internes ou externes une fois l’exécution du workflow terminée.
      Affichez les informations contenues dans les listes connexes Perceptions, Résultats de recherche de perception et Détails de recherche de perception . L’exemple suivant montre l’enregistrement de recherche de perceptions qui a été créé dans la liste connexe Perceptions.
      Affichez l’enregistrement Recherche de perceptions qui a été créé dans l’onglet Perceptions.
      Tableau 1. Enregistrement de recherche de perceptions
      Champ Description
      Créées Date et heure de création de l’enregistrement de recherche d’observations.
      Observable Observable recherché par la requête.
      Nombre de perception Nombre de perceptions internes et externes.
      Source Source de l’observable. Si l’observable provient d’une MISP organisation, l’enregistrement est précédé des mots MISP.
      Est local État indiquant si l’observation a été signalée par un utilisateur interne.
      Lien de recherche sur la perception Lien de recherche de perception dans l’instance MISP .
      Résumé Type d’observations associées à l’enregistrement. Les trois types d’observations sont la perception, le faux positif et l’expiration.

      La colonne Résumé s’affiche uniquement lorsque le est MISP integration for Security Operations installé. Si des sources autres que MISP s’affichent, l’entrée de la colonne Résumé est vide pour cet enregistrement.

    Effectuer une recherche de perception manuelle dans MISP

    Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle dans l’application Now Platform MISP integration for Security Operations pour déterminer la prévalence d’une menace au fil du temps.

    Avant de commencer

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables dont vous souhaitez exécuter la recherche d’observations MISP .
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Exécuter la recherche de perceptions.
      Vous pouvez sélectionner plusieurs observables pour une recherche d’observations.
      La boîte de dialogue Exécuter la recherche de perception s’ouvre.
    5. Spécifiez la plage de dates pour rechercher les données de recherche d’observations.
      Tableau 2. Boîte de dialogue Exécuter la recherche de perception
      Champ Description
      Dernier Nombre d’heures ou de jours avant la création de l’incident à rechercher.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont les suivantes :
      • Date et heure de création de l’incident.
      • Date et heure qui précèdent de sept jours l’ouverture de l’incident.
    6. Cliquez sur Rechercher.
      L’exemple suivant montre les résultats de la recherche de perception manuelle dans les notes de travail.
      Résultats de la recherche de perception manuelle dans les notes de travail.

    Résultats

    Un enregistrement de recherche de perceptions est créé. Une fois l’exécution du workflow terminée, vous pouvez afficher les informations agrégées des observables qui sont observées dans tous les événements (globaux) et classées en fonction de leurs perceptions internes ou externes. Les données d’agrégat et les observations associées sont affichées dans l’incident de sécurité dans les listes connexes Perceptions, Résultats de recherche de perceptions et Détails de recherche de perceptions .

    Signaler des observations à MISP

    Signalez les détections de données de menaces afin de pouvoir réagir aux faux positifs dans vos données et augmentez votre sensibilisation lorsqu’une menace réelle et positive se produit. Vous pouvez également ajouter une date d’expiration pour un observable ou un attribut particulier.

    Avant de commencer

    Pourquoi et quand exécuter cette tâche

    Cela MISP integration for Security Operations vous permet de rapporter globalement MISP des observations pour tous les événements. Pour signaler une observation à un événement spécifique, vous devez utiliser l’instance MISP et signaler l’observation localement.

    Pour signaler une observation à MISP, l’observable ou l’attribut doit être disponible dans l’instance MISP .

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour MISP lesquels vous souhaitez signaler les observations.
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Observations.
    4. Sélectionnez l’observable et, dans le menu Actions, sélectionnez l’une des options suivantes.
      OptionDescription
      MISP : signaler une observation observable Signaler l’observable comme vu à MISP. Si l’observable est associé à plusieurs événements, il est mis à jour dans tous les événements.
      MISP : signaler l’observable comme faux positif Signalez l’observable comme faux positif à MISP.
      MISP : signaler l’observable comme expiré Signaler l’observable comme expiré à MISP.
      Si vous sélectionnez des observables qui ne sont pas spécifiques à une MISP source, le menu Actions affiche le nombre de sources pertinentes MISP . L’exemple suivant montre quatre des huit observables comme étant pertinents pour MISP. L’exemple suivant montre le menu Actions et les observables pertinents pour la soumission.
      Figure 1. Menu Actions affichant les observables pertinents pour la soumission
      Le menu Actions affiche les observables pertinents pour MISP.
    5. Facultatif : Si vous avez sélectionné l’option MISP : signaler la perception observable , vous devez remplir les champs de la boîte de dialogue Signaler la perception observable sur MISP.
      Tableau 3. Boîte de dialogue Signaler la perception observable dans MISP
      Champ Description
      Source Champ source correspondant à la MISP source de l’observation.
      Date Champ de date correspondant à la date à laquelle l’observable est observé. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.

      L’exemple suivant montre comment accéder à la liste connexe Perceptions dans l’incident de sécurité. Dans cette liste, vous pouvez sélectionner un observable et signaler l’observation observable à MISP. Le message de réussite montre que l’observation a été soumise avec succès à MISP.

      Figure 2. Signale la perception observable sur MISP
      Signale la perception observable sur MISP
      1. Cliquez sur Signaler une observation.
    6. Facultatif : Si vous avez sélectionné l’option MISP : signaler un observable comme faux positif , vous devez remplir les champs de la boîte de dialogue Signaler l’observable comme faux positif à MISP .
      Tableau 4. Boîte de dialogue Signaler l’observable comme faux positif à MISP
      Champ Description
      Source (facultatif) Champ source correspondant à la MISP source. Utilisez ce champ pour déclarer l’observable comme faux positif.
      Date Champ de date correspondant à la date à laquelle il a été déterminé que l’observable est un faux positif. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.
      1. Cliquez sur Signaler un faux positif.
    7. Facultatif : Si vous avez sélectionné l’option MISP : signaler l’observable comme expiré , vous devez remplir les champs de la boîte de dialogue Signaler l’expiration de l’observable à MISP .
      Tableau 5. Boîte de dialogue Signaler l’expiration de l’observable à MISP
      Champ Description
      Source Champ source correspondant à la MISP source. Utilisez ce champ pour définir un observable comme expiré.
      Date Champ de date correspondant à la date à laquelle l’observable a expiré. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.
      1. Cliquez sur Expiration du rapport.

    Résultats

    Les perceptions ont été mises à jour avec succès vers le MISP serveur.