Konfigurieren Sie, wie ein automatisches Event erstellt wird
Konfigurieren Sie Now Platform so, dass automatisch Ereignisse in MISPerstellt werden.
Vorbereitungen
- Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen die für die Verwendung der bidirektionalen MISP -Funktionen erforderlich sind.
- Erforderliche Rolle: sn_si.admin, sn_ti.admin
Prozedur
Konfigurieren Sie Bedingungen für die Auslösung von Ereignissen
Konfigurieren Sie die Auslösebedingungen für Ereignisse in Now Platform, damit Sie automatisch ein Ereignis in MISP auslösen können, wenn die Bedingungen erfüllt sind.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Prozedur
-
Füllen Sie im Formular „Auslösebedingungen“ die Details aus, die ein Ereignis auslösen können.
Sie können eine zusammengesetzte Logik erstellen, indem Sie die Auslöserbedingungen angeben, die auf Feldern für Security Incidents oder erkennbaren Elementen basieren. Sie können auch Ereignisse in MISP erstellen, wenn erkennbare Elemente kein entsprechendes Ereignis in MISPhaben. Sie können eine zusammengesetzte Logik erstellen, indem Sie eine Kombination der drei Auslöserbedingungen verwenden – Auslöser basierend auf Feldern von Security Incidents, Auslöser basierend auf Feldern erkennbarer Elemente und MISP-Ereignis erstellen, wenn ein erkennbares Element keine entsprechenden Ereignisse in MISP enthält. Wenn Sie mehrere Auslöser auswählen, können Sie sie mithilfe der UND-Bedingung verbinden. Erwägen Sie das Erstellen eines Profils mit neuen Bedingungen, wenn Sie die ODER-Bedingung verwenden müssen.
Tabelle : 2. Formular „Ereignisauslösebedingungen“. Feld Beschreibung Auslöser basierend auf Security Incident-Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslösebedingungen für Security Incidents erfüllt sind. Auslösebedingungen für Security Incident Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf AND oder OR. Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden. Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.
Auslöser basierend auf erkennbaren Feldern MISP Ereignis, das Sie erstellen können, wenn alle Auslöserbedingungen für erkennbare Elemente erfüllt sind. Auslösebedingungen für erkennbare Elemente Filter in der ersten Zeile, die Sie mithilfe der Listen und Felder des Bedingungsgenerators festlegen können. Um weitere Bedingungen hinzuzufügen, klicken Sie auf AND oder OR. Wenn AND ausgewählt ist, müssen alle Bedingungen erfüllt sein. Wenn ODER ausgewählt ist, kann eine der beiden Bedingungen erfüllt werden. Um eine zweite Filterbedingung festzulegen, klicken Sie auf Neue Kriterien.
Erstellen Sie ein MISP-Ereignis, wenn das erkennbare Element keine entsprechenden Ereignisse in MISP enthält. MISP Ereignis, das Sie erstellen können, wenn ein erkennbares Element keine entsprechenden Ereignisse in MISPhat. Abbildung : 1. Auslösebedingungen für Ereignisse Das folgende Beispiel zeigt die Bedingungen für den Auslöser des Ereignisses beim Einrichten des Profils MISP zur Erstellung des Ereignisses.
Ordnen Sie die Ereignisfelder MISP zu
Ordnen Sie die Ereignisfelder MISP in Now Platform zu, damit Informationen zu Security Incidents verfügbar sind, wenn Ereignisse MISP vom Typ erstellt werden.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Prozedur
-
Füllen Sie die Felder des Formulars aus.
Tabelle : 3. Standardmäßiges Feldzuordnungsformular für MISP-Ereignis Feld Beschreibung Information zum Ereignis Ereignisinformationen, die automatisch aus dem Now Platform Security Incident Responseerstellt werden. Das Feld „Ereignisinformationen“ unterstützt Substitutionsvariablen durch Verwendung von ${SIR FIELD LABEL}$. Während der Erstellung eines Ereignisses werden diese Variablen durch die tatsächlichen Feldwerte des Security Incidents ersetzt. Die Substitutionsvariable ${URL}$ wird durch die URL des Security Incident ersetzt.
Verteilung Option, die steuert, wer dieses Ereignis anzeigen kann, nachdem das Ereignis veröffentlicht wurde. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung gewinnen. Die Verteilungsoptionen lauten wie folgt: - Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz verschoben werden, in der nur Ihre Organisation darauf zugreifen kann. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
- Nur diese Community: Ermöglicht Anwendern, die Teil Ihrer MISP -Community sind, einschließlich Ihrer eigenen Organisation, von Organisationen auf diesem MISP -Server und von Organisationen, die MISP -Server ausführen, die mit diesem Server synchronisiert werden, das Ereignis anzuzeigen. Alle anderen Organisationen, die eine Verbindung zu Ihren Verbindungsservern herstellen, können das Ereignis nicht anzeigen.
- Verbundene Communities: Ermöglicht Anwendern, die Teil Ihrer Community MISP sind, das Ereignis anzuzeigen, einschließlich aller Organisationen auf diesem Server MISP, aller Organisationen auf den Servern MISP, die mit diesem Server synchronisiert werden, und der Hosting-Organisationen von Servern, die eine Verbindung zu einem beliebigen Server herstellen das ist zwei Hops entfernt. Alle anderen Organisationen, die mit den zwei Hops entfernten Verbindungsservern verbunden sind, können das Ereignis nicht anzeigen.
- Alle Communities: Gibt das Ereignis für alle MISP -Communitys frei.
Bedrohungsstufe Feld, das die Risikostufe des Ereignisses angibt. Sie können Incidents in drei verschiedene Bedrohungskategorien (niedrig, mittel, hoch) einteilen. Dieses Feld kann auch als undefiniert belassen werden. Die folgenden Optionen stehen zur Verfügung: - Niedrig: Allgemeine Massen-Malware
- Mittel: Advanced Persistent Threats (APT)
- Hoch: Ausgereifte APTs und 0-Tage-Angriffe
Analysestatus Aktuelle Phase der Analyse für das Ereignis mit den folgenden möglichen Optionen: - Anfänglich: Die Analyse beginnt gerade erst
- Laufend: Die Analyse wird ausgeführt
- Abgeschlossen: Die Analyse ist abgeschlossen
Das folgende Beispiel zeigt das Formular, mit dem Sie ein Ereignis in MISP erstellen können.Abbildung : 2. Standardmäßige MISP-Ereignisfeldzuordnung
Ordnen Sie SIR erkennbare Elemente als Attribute zu MISP -Ereignissen zu oder ordnen Sie sie zu
Ordnen Sie die erkennbaren Elemente Security Incident Response den Attributtypen MISP zu, da die Attributtypen MISP und die erkennbaren Elemente SIR unterschiedlich sein können.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Warum und wann dieser Vorgang ausgeführt wird
MISP integration for Security Operations stellt eine Basissystemzuordnung bereit, die Sie verwenden, wenn Sie erkennbare Elemente SIR als Attribute zu einem Ereignis MISP hinzufügen.
Sie können die Basissystemzuordnung an Ihre Umgebung anpassen. Beispielsweise können Sie mehrere SIR erkennbare Elemente nur einem MISP Attributtyp zuordnen. Wenn keine erkennbaren Typen zugeordnet sind, wird standardmäßig der andere MISP Attributtyp ausgewählt.
Prozedur
-
Ordnen Sie die erkennbaren Elementtypen Security Incident Response den Attributtypen MISP zu, wie in der folgenden Tabelle beschrieben.
Tabelle : 4. Zuordnung von erkennbarem SIR- und MISP-Attributtyp Feld Beschreibung Alle zugehörigen erkennbaren Elemente als Attribute hinzufügen Option zum Hinzufügen verfügbarer erkennbarer Elemente in einem Security Incident zu einem MISP -Ereignis als Attribute. Diese Option aktiviert die Zuordnung im Abschnitt „Zuordnung von erkennbarem Elementtyp zu Attributtyp“.
Zuordnung erkennbarer Elemente zu Attributtyp Option zum Zuordnen der erkennbaren Elemente SIR zu den Attributtypen MISP. Sie können beispielsweise die CVE-Nummer in SIR dem Schwachstellenattribut in MISPzuordnen. Sie können einen erkennbaren Elementtyp SIR nur einem einzigen MISP -Attributtyp hinzufügen.
Das Basissystem bietet eine Zuordnung der erkennbaren Elemente SIR zu den Attributtypen MISP.
Wenn erkennbare SIR -Typen keinem Attributtyp MISP zugeordnet sind, wird das erkennbare Element dem anderen Attributtyp in MISPzugeordnet.
Um eine neue Zuordnung hinzuzufügen, klicken Sie auf Add Observable Type (Erkennbaren Typ hinzufügen), suchen Sie nach dem erkennbaren Elementtyp SIR, und ordnen Sie ihn dann dem entsprechenden Attributtyp MISP zu.
Klicken Sie auf das Symbol Zuordnung entfernen
um die Zuordnung der Attributzuordnung SIR und MISP zu entfernen.Hinweis:Weitere Informationen zu Attributtypen MISP finden Sie in der MISP-Dokumentation.Erkennbare Elemente anhand von Sicherheits-Tags filtern Option zum Filtern der erkennbaren Elemente basierend auf den ausgewählten Sicherheits-Tags. Sicherheits-Tags: Fügen Sie Tags hinzu, um die erkennbaren Elemente zu filtern. Wenn Sie beispielsweise ein Tag mit der Bezeichnung „Freigabe blockieren“ oder „TLP: White“ hinzufügen, werden diese erkennbaren Elemente, wenn eines der erkennbaren Elemente mit einem dieser Tags verknüpft ist, dem MISP-Ereignis während des MISP nicht als Attribut hinzugefügt Ereigniserstellung.
Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Option, die Sie darüber informiert, dass, wenn ein erkennbares Element in SIRals schädlich markiert ist, für das entsprechende Attribut in MISP die IDS-Kennzeichnung aktiviert ist. Wenn die IDS-Kennzeichnung nicht festgelegt ist, gilt das Attribut als kontextbezogene Information und wird nicht für die automatische Angriffserkennung verwendet. Das folgende Beispiel zeigt, wie Sie zur Seite mit zusätzlichen Optionen navigieren. Auf dieser Seite können Sie die Zuordnung von erkennbaren SIR-Elementen und MISP-Attributtypen aktivieren, neue erkennbare Elementtypen SIR hinzufügen, z. B. das IPV6-Netzwerk und das IPV4-Netzwerk, und sie der Domänen-IP-Adresse des Attributtyps MISP zuordnen.
Abbildung : 3. Zuordnung von SIR erkennbaren Elementen und MISP Attributtypen
Synchronisieren Sie MITRE-ATT&CK -Informationen mit MISP -Ereignissen
Synchronisieren Sie die MITRE-ATT&CK -Informationen mit MISP den -Attributen, um Security Incidents und Bedrohungsanalysen zu verbessern.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write
Prozedur
| Feld | Beschreibung |
|---|---|
| Techniken des Security Incident MITRE-ATT&CK™ als lokale Galaxien im Ereignis MISP synchronisieren | Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als lokale Galaxien im Ereignis MISP. Hinweis: Um lokale Galaxien hinzuzufügen, muss der Benutzer, der die Integration konfiguriert hat, zur Hostorganisation des entsprechenden Servers MISP gehören. |
| Techniken des Security Incident MITRE-ATT&CK™ als globale Galaxien im Ereignis MISP synchronisieren | Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als globale Galaxien im Ereignis MISP. |
Ergebnisse
Fügen Sie Ereignissen MISP-Tags hinzu
Fügen Sie den erstellten MISP-Ereignissen MISP-Tags hinzu.
Vorbereitungen
Erforderliche Rolle: sn_sec_misp.write