Ergänzung erkennbarer Elemente in MISP

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer

    • Indem Sie bei Untersuchungen zur Reaktion auf Incidents erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen MISP -Quellen anreichern, können Sie identifizierte Bedrohungen eindämmen.

    Aktivieren Sie die automatische Ergänzung erkennbarer Elemente in MISP

    Aktivieren Sie die automatische Ergänzung erkennbarer Elemente in Now Platform MISP, wenn dem Security Incident neue erkennbare Elemente zugeordnet werden.

    Vorbereitungen

    • Aktivieren Sie die Systemeigenschaft Security Incident Response für die Option Aktiviert oder deaktiviert die geplante Aufgabe „Nach erkennbaren Security Incident-Elementen suchen“, um die Fähigkeit zum Anreichern erkennbarer Elemente in SIRauszulösen.
    • Erforderliche Rolle: sn_si.analyst

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Daten erkennbarer Elemente in MISP ergänzen möchten.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.

      Das folgende Beispiel zeigt, dass eine Arbeitsnotiz gepostet wird, wenn der Flow „Security Operations Integration – Erkennbares Element ergänzen“ ausgelöst wird.

      Zeigen Sie die Arbeitsnotizen zum Status der Anreicherung erkennbarer Elemente an.

    4. Zeigen Sie in der zugehörigen Liste MISP Ergänzungsergebnisse des Security Incidents die Ergänzungsergebnisse an, nachdem die Flow-Ausführung abgeschlossen ist.
      Zeigen Sie die Arbeitsnotizen zum Status der Anreicherung erkennbarer Elemente an, nachdem die Ausführung abgeschlossen wurde.
      Hinweis:
      Sie müssen konfigurieren, dass die zugehörige Liste MISP Ergänzungsergebnisse in den zugehörigen Listen für Security Incidents angezeigt wird. Weitere Informationen finden Sie unter Konfiguration der zugehörigen Liste.
      Das folgende Beispiel zeigt die Ergänzungsergebnisse in MISP.
      Zeigen Sie die Ergänzungsergebnisse auf der Registerkarte MISP-Ergänzungsergebnisse an.
      Die folgende Tabelle zeigt die MISP-Ergänzungsergebnisse.
      Tabelle : 1. MISP-Datenanreicherungs-Ergebnisse
      Feld Beschreibung
      Ereignis ID des Ereignisses. Klicken Sie auf „Öffnen“, um den Datensatz in der Instanz Now Platform anzuzeigen.
      Org Organisation, die das Ereignis ursprünglich erstellt hat.
      Erkennbares Element Erkennbares Element, das dem Ereignis zugeordnet ist.
      Kategorie Kategorie des Attributs.

      Zeigen Sie die Liste der Kategorien in der MISP-Dokumentation an.
      Typ Typ des Attributs.

      Zeigen Sie die Liste der Typen in der MISP-Dokumentation an.
      MISP-Tags Liste der Tags, die dem Attribut MISP zugeordnet sind.
      MISP-Galaxien Liste der Galaxien, die dem Attribut MISP zugeordnet sind.
      Kommentar Kontextbezogener Kommentar zur weiteren Beschreibung des Attributs. Diese Kommentare werden nicht zur Korrelation verwendet und sind rein informativer Natur.
      IDS Kompromittierungsindikator, der es ermöglicht, ihn in alle berechtigten Exporte aufzunehmen.
      Verteilung Verteilung des Attributs nach der Veröffentlichung. Ein Attribut kann eine andere Verteilungsebene haben als das Ereignis. In beiden Fällen wird die niedrigste Verteilungsebene verwendet.
      Hyperlink zum MISP-Ereignis Link zum Ereignis MISP, das auf dem Server MISP gespeichert ist.
      IntegrationsVendor Integrationslieferant, der die Daten für die Ergänzung bereitstellt.
      Rohdaten Rohdaten, die dem Attribut MISP zugeordnet sind.

    Führen Sie eine manuelle Anreicherung erkennbarer Elemente in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Anreicherung erkennbarer Elemente durch, um erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen MISP -Quellen zu ergänzen.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Ergänzung durchführen möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte Zugeordnete erkennbare Elemente.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie im Menü Aktionen auf Anreicherung erkennbarer Elemente ausführen.
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld „Anreicherung erkennbarer Elemente ausführen“ wird angezeigt.
    5. Wählen Sie eine Quelle MISP und dann in der Spalte Ausgewählt eine Implementierung aus, um die ausgewählten erkennbaren Elemente anzureichern.
    6. Klicken Sie auf Absenden.
      Eine Arbeitsnotiz zeigt, dass der Workflow „Security Operations Integration – Erkennbares Element ergänzen“ ausgelöst wurde. Die zugeordneten Implementierungs-Workflows werden ausgeführt, um die Anreicherung durchzuführen. Sie können die Arbeitsnotizen im Security Incident anzeigen, um den Status anzuzeigen.

      Das folgende Beispiel zeigt, wie Sie die Arbeitsnotizen für eine manuelle Ergänzung erkennbarer Elemente anzeigen.

      Abbildung : 1. Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente
      Zeigen Sie Arbeitsnotizen für die manuelle Ergänzung erkennbarer Elemente an.
      In der Ergänzungsnachricht wird das erstellte Ereignis aufgelistet. Sie können das Ereignis in der Instanz Now Platform oder in der Instanz MISP anzeigen und die Details des Datensatzes auf der Registerkarte MISP-Ergänzungsergebnisse anzeigen.

    Fügen Sie Tags für MISP -Attribute hinzu, oder entfernen Sie sie

    Fügen Sie Tags in MISP hinzu, oder entfernen Sie sie, um Ereignisse oder Attribute zu klassifizieren. Sie können Tagging global verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn MISP -Ereignisse während der Klassifizierung nicht geändert werden sollen.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen zur Verwendung der bidirektionalen MISP -Funktionen.
    • Stellen Sie sicher, dass das Attribut, das Sie bearbeiten, zu derselben Organisation gehört wie der Benutzer MISP.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf der Quelle MISP und ihren Verteilungsberechtigungen basieren.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente, Attribute oder Ereignisse enthält, für die Sie die Tags hinzufügen möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die zugehörige Liste MISP-Ergänzungsergebnisse.
    4. Klicken Sie auf das Vorschausymbol Vorschausymbol. neben einem Datensatz, und klicken Sie dann auf Datensatz öffnen.
      Das folgende Beispiel zeigt, wie Sie die MISP-Ergänzungsergebnisse überprüfen und einen MISP -Ergänzungsdatensatz öffnen.
      Abbildung : 2. MISP-Ergänzungsergebnisdatensatz
    5. Überprüfen Sie den Datensatz des MISP-Ergänzungsergebnisses.
      Tabelle : 2. MISP-Anreicherungsergebnis
      Feld Beschreibung
      Erkennbares Element
      Ereignis Ereignis-ID, die vom Server MISP zugewiesen wurde, als das Ereignis zum ersten Mal erstellt oder in MISPimportiert wurde.

      Zeigen Sie eine Vorschau des Ereignisses an, oder klicken Sie auf den Datensatz, um die Ereignisdaten auf der Seite MISP Ereignisdaten anzuzeigen.
      Org Organisation, die das Attribut MISP erstellt hat.
      Kategorie Kategorie des Attributs, das Sie dem bestimmten Ereignis in MISPhinzufügen. Sie können eine Option wie „interne Referenz“, „Netzwerkaktivität“, „Finanzbetrug“ usw. auswählen.
      Typ Typ des MISP -Attributs.
      IntegrationsVendor Integrationsanbieter, der die Daten für die Ergänzung erkennbarer Elemente bereitstellt.
      Erstellungsdatum (in MISP) Datum, an dem das Ereignis zum ersten Mal in MISPerstellt oder importiert wurde.
      IDS Status, der angibt, ob ein erkennbares Element in SIRals schädlich markiert ist. Das entsprechende Attribut in MISP ist ebenfalls als „true“ gekennzeichnet.
      Verteilung Steuerungen für Verteilungsoptionen, z. B. wer dieses Ereignis anzeigen kann, nachdem es veröffentlicht wurde. Diese Option steuert auch, ob das Ereignis mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt, und die restriktivste Einstellung gewinnen. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur Mitgliedern Ihrer Organisation, dieses Ereignis anzuzeigen. Das Ereignis kann von einem Ihrer Organisationsmitglieder in eine andere Instanz verschoben werden, auf die nur Ihre Organisation zugreifen kann. Ereignisse mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Ermöglicht Anwendern, die Teil Ihrer MISP -Community sind, einschließlich Ihrer eigenen Organisation, von Organisationen auf diesem MISP -Server und von Organisationen, die MISP -Server ausführen, die mit diesem Server synchronisiert werden, das Ereignis anzuzeigen. Alle anderen Organisationen, die mit diesen Verbindungsservern verbunden sind, können das Ereignis nicht anzeigen.
      • Verbundene Communities: Ermöglicht Anwendern, die Teil Ihrer Community MISP sind, das Ereignis anzuzeigen, einschließlich aller Organisationen auf diesem Server MISP, aller Organisationen auf Servern MISP von , die mit diesem Server synchronisiert werden, und der Hosting-Organisationen von Servern, die eine Verbindung zu einem beliebigen Server herstellen zwei Hops entfernt). Alle anderen Organisationen, die mit den zwei Hops entfernten Verbindungsservern verbunden sind, können das Ereignis nicht anzeigen.
      • Alle Communities: Gibt das Ereignis für alle MISP Communities frei, wodurch das Ereignis frei verfügbar ist.
      Hyperlink zum MISP-Ereignis Link zum Ereignis MISP, das auf dem Server MISP gespeichert ist.
      Rohdaten Rohdetails für den Ergänzungsdatensatz des erkennbaren Elements.
      Kommentar Kommentare, die Sie für die Attribute hinzufügen. Diese Kommentare dienen nur zu Informationszwecken und werden nicht zur Korrelation verwendet.
      Tags (lokal) Tags, die in der Instanz MISP der Hostorganisation verfügbar sind, um Tagging für die Synchronisierungs- und Exportfilterung zu aktivieren. MISP Ereignisse werden nicht geändert, wenn Sie lokale Tags verwenden. Diese Tags werden vor der Synchronisierung mit anderen MISP -Instanzen und Freigabe-Communitys immer entfernt.
      Tags (global) Tags, die global für die Freigabe und Synchronisierung mit anderen MISP -Instanzen und Freigabe-Communities verfügbar sind. Wenn Sie Instanzen MISP globale Tags hinzufügen, ändern Sie Ereignisse.
      Galaxien (lokal) Galaxien, die in der Instanz MISP der Hostorganisation für die Synchronisierung und Exportfilterung verfügbar sind. MISP Ereignisse werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese Galaxien werden immer entfernt, bevor sie mit anderen MISP -Instanzen und Freigabe-Communitys synchronisiert werden.
      Galaxien (global) Galaxien, die global für die Freigabe und Synchronisierung mit anderen MISP -Instanzen und Freigabe-Communitys verfügbar sind. Wenn Sie globale Galaxien hinzufügen, werden MISP Ereignisse geändert.
    6. Um ein lokales oder globales Tag zu bearbeiten, klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld MISP-Attribut-Tags den Namen des zu suchenden Tags ein, und fügen Sie es hinzu.
    2. Klicken Sie auf Tags auf MISP-Attribut aktualisieren.

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen und hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsmeldung zeigt, dass alle Tags in MISPaktualisiert wurden.

      Die Tags wurden erfolgreich auf dem Server MISP aktualisiert.
    3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie in der Erfolgsmeldung auf Formular neu laden.

    Fügen Sie einem Ereignis oder Attribut MISP Galaxien hinzu, oder entfernen Sie es

    Fügen Sie Galaxien in MISP hinzu, oder entfernen Sie sie, damit Sie diese Objekte als Cluster in MISP klassifizieren und an MISP -Ereignisse oder -Attribute anhängen können.

    Vorbereitungen

    • Überprüfung des folgenden Elements: MISP Anwenderrolle und Berechtigungen zur Verwendung der bidirektionalen MISP -Funktionen.
    • Um lokale Galaxien hinzuzufügen, muss der Benutzer, der die Integration konfiguriert hat, zur Hostorganisation des entsprechenden Servers MISP gehören.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf der Quelle MISP und ihren Verteilungsberechtigungen basieren.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Füllen Sie im Dialogfeld „MISP-Ereignis-Galaxien“ die Details aus.
      Tabelle : 3. Dialogfeld „MISP-Ereignis-Galaxien“.
      Feld Beschreibung
      Ereignis-ID Ereignis-ID, die vom Server MISP zugewiesen wurde, als das Ereignis zum ersten Mal erstellt oder in MISPimportiert wurde.
      Namespace Namespace, in dem die Galaxie gespeichert ist. Sie können Namespaces verwenden, um ähnliche Galaxien zu gruppieren.
      Galaxien Galaxie, in der Sie die Clusterinformationen speichern.
      Cluster Informationen zu den Clustern in der Galaxie.
    2. Klicken Sie auf Galaxien auf MISP-Attribut aktualisieren.
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Galaxien den veralteten Namespace und dann die Galaxie „Enterprise Attack – Angriffsmuster“ auswählen und die Clusterinformationen hinzufügen können. Nachdem die Galaxie-Informationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

    3. Um die Änderungen im Datensatz anzuzeigen, klicken Sie in der Erfolgsmeldung auf Formular neu laden.

    Ergebnisse

    Die Galaxie-Informationen wurden auf dem Server MISP erfolgreich aktualisiert.

    Fügen Sie dem Attribut MISP Kommentare hinzu

    Fügen Sie Kommentare für die MISP -Attribute hinzu. Die von Ihnen hinzugefügten Kommentare dienen nur zu Informationszwecken und werden nicht für die Korrelation von MISP -Daten verwendet.

    Vorbereitungen

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. im Feld Kommentar.
    2. Geben Sie Ihren Kommentar in das Feld Attributkommentar ein.
    3. Klicken Sie auf Kommentar auf MISP-Attribut aktualisieren.
      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol neben dem Kommentarfeld einen Kommentar hinzufügen und dann das Attribut MISP aktualisieren können. Nachdem der Kommentar aktualisiert wurde, können Sie die Erfolgsmeldung anzeigen.

    4. Um die Änderungen im Datensatz anzuzeigen, klicken Sie in der Erfolgsmeldung auf Formular neu laden.

    Ergebnisse

    Der Kommentar wurde erfolgreich auf dem Server MISP aktualisiert.