Enrichissement des observables dans MISP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 10 minutes de lecture

    • En enrichissant les observables avec des informations supplémentaires provenant de diverses MISP sources pendant les enquêtes de réponse aux incidents, vous pouvez contenir les menaces identifiées.

    Activer l’enrichissement automatique des observables dans MISP

    Activez l’enrichissement Now Platform MISP automatique des observables lorsque de nouveaux observables sont associés à l’incident de sécurité.

    Avant de commencer

    • Activez la Réponse aux incidents de sécurité propriété système pour l’option Active ou Désactive la tâche planifiée, Rechercher les observables d’incident de sécurité pour déclencher l’aptitude d’enrichissement des observables dans SIR.
    • Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez enrichir les données MISP observables.
    3. Examinez les notes de travail une fois que de nouveaux observables ont été associés à l’incident de sécurité.

      L’exemple suivant montre qu’une note de travail est publiée lorsque le workflow Security Operations Integration - Enrichir les observables se déclenche.

      Affichez les notes de travail de l’état d’enrichissement des observables.
    4. Dans la liste connexe Résultats de l’enrichissement MISP de l’incident de sécurité, affichez les résultats de l’enrichissement une fois l’exécution du workflow terminée.
      Remarque :
      Vous devez configurer de façon à ce que la liste connexe Résultats de l’enrichissement MISP apparaisse dans les listes connexes des incidents de sécurité. Pour plus d’informations, consultez la configuration de la liste connexe.
      L’exemple suivant montre les résultats de l’enrichissement dans le MISPfichier .
      Affichez les résultats de l’enrichissement dans l’onglet Résultats de l’enrichissement MISP.
      La table suivante affiche les résultats de l’enrichissement MISP.
      Tableau 1. Résultats de l'enrichissement MISP
      Champ Description
      Événement ID de l’événement. Cliquez sur Ouvrir pour afficher l’enregistrement dans l’instance Now Platform .
      Org Organisation qui a créé l’événement à l’origine.
      Observable Observable associé à l’événement.
      Catégorie Catégorie de l’attribut.

      Affichez la liste des catégories dans la documentation MISP.
      Type Type de l’attribut.

      Affichez la liste des types dans la documentation MISP.
      Balises MISP Liste des balises associées à l’attribut MISP .
      Galaxies MISP Liste des galaxies associées à l’attribut MISP .
      Commentaire Commentaire contextuel permettant de décrire plus précisément l’attribut. Ces commentaires ne sont pas utilisés à des fins de corrélation et sont purement informatifs.
      IDS Indicateur de compromis, qui permet de l’inclure dans toutes les exportations éligibles.
      Distribution Distribution de l’attribut après sa publication. Un attribut peut avoir un niveau de distribution différent de celui de l’événement. Dans les deux cas, le niveau de distribution le plus bas est utilisé.
      Lien hypertexte vers l'événement MISP Lien vers l’événement MISP , qui est stocké sur le MISP serveur.
      Fournisseur de l'intégration Fournisseur d’intégration qui fournit les données pour l’enrichissement.
      Données brutes Données brutes associées à l’attribut MISP .

    Effectuer un enrichissement manuel de l’observable dans MISP

    Sélectionnez un ou plusieurs observables et effectuez un enrichissement manuel des observables afin de pouvoir enrichir les observables avec des informations supplémentaires provenant de diverses MISP sources.

    Avant de commencer

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez effectuer l’enrichissement.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Sélectionnez l’observable et, dans le menu Actions, cliquez sur Exécuter l’enrichissement de l’observable.
      Vous pouvez sélectionner plusieurs observables pour une recherche d’observations.
      La boîte de dialogue Exécuter l’enrichissement de l’observable s’affiche.
    5. Sélectionnez une MISP source puis, dans la colonne Sélectionné, sélectionnez une implémentation pour enrichir les observables sélectionnés.
    6. Cliquez sur Envoyer.
      Une note de travail indique que le workflow Security Operations Integration - Enrichir les observables a été déclenché. Les workflows d’implémentation associés s’exécutent pour effectuer l’enrichissement. Vous pouvez afficher les notes de travail dans l’incident de sécurité pour afficher l’état.

      L’exemple suivant montre comment afficher les notes de travail pour un enrichissement manuel des observables.

      Figure 1. Notes de travail pour l’enrichissement manuel des observables
      Affichez les notes de travail pour l’enrichissement manuel des observables.
      Le message d’enrichissement répertorie l’événement créé. Vous pouvez afficher l’événement dans le Now Platform ou dans l’instance MISP et afficher les détails de l’enregistrement dans l’onglet Résultats de l’enrichissement MISP.

    Ajouter ou supprimer des balises à des MISP attributs

    Ajoutez ou supprimez des balises pour MISP classer les événements ou les attributs. Vous pouvez utiliser le balisage globalement pour activer votre classification ou utiliser des balises localement lorsque vous ne souhaitez pas que MISP les événements soient modifiés pendant votre classification.

    Avant de commencer

    • Examinez le MISP Rôle d’utilisateur et autorisations pour utiliser les MISP fonctionnalités bidirectionnelles.
    • Vérifiez que l’attribut que vous modifiez appartient à la même organisation que l’utilisateur MISP .
    • Notez que les balises et les galaxies qui sont à votre disposition sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables, les attributs ou les événements pour lesquels vous souhaitez ajouter les balises.
    3. Cliquez sur Afficher toutes les listes connexes et sur la liste connexe Résultats de l’enrichissement MISP.
    4. Cliquez sur l’icône d’aperçu Icône d’aperçu en regard d’un enregistrement, puis cliquez sur Ouvrir l’enregistrement.
      L’exemple suivant montre comment examiner les résultats de l’enrichissement MISP et comment ouvrir un MISP enregistrement d’enrichissement.
      Figure 2. Enregistrement du résultat d’enrichissement MISP
    5. Passez en revue l’enregistrement des résultats de l’enrichissement MISP.
      Tableau 2. Résultat de l'enrichissement MISP
      Champ Description
      Observable
      Événement ID d’événement affecté par le serveur lors de la MISP création ou de l’importation de l’événement pour la première fois dans MISP.

      Prévisualisez l’événement ou cliquez sur l’enregistrement pour afficher les données de l’événement dans la page Données d’événement MISP .
      Org Organisation qui a créé l’attribut MISP .
      Catégorie Catégorie de l’attribut que vous ajoutez à l’événement spécifique dans MISP. Vous pouvez sélectionner une option telle qu’une référence interne, une activité réseau, une fraude financière, etc.
      Type Type d’attribut MISP .
      Fournisseur de l'intégration Fournisseur d’intégration qui fournit les données pour l’enrichissement des observables.
      Date de création (dans MISP) Date dans laquelle l’événement a été créé ou importé pour MISPla première fois.
      IDS État indiquant si un observable est marqué comme malveillant dans SIR. L’attribut correspondant dans MISP est également marqué comme true.
      Distribution Contrôles des options de distribution, tels que les personnes qui peuvent consulter cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs, et le paramètre le plus restrictif l’emporte. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : permet uniquement aux membres de votre organisation de voir cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation peut l’afficher. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toutes les autres organisations connectées à ces serveurs liés ne peuvent pas voir l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement, y compris toutes les organisations sur ce MISP serveur, toutes les organisations sur MISP les serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts de distance. Toutes les autres organisations connectées aux serveurs liés situés à deux sauts de distance ne peuvent pas voir l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés, ce qui permet à l’événement d’être librement accessible.
      Lien hypertexte vers l'événement MISP Lien vers l’événement MISP stocké sur le MISP serveur.
      Données brutes Détails bruts de l’enregistrement de données d’enrichissement de l’observable.
      Commentaire Commentaires que vous ajoutez pour les attributs. Ces commentaires sont fournis à titre d’information uniquement et ne sont pas utilisés à des fins de corrélation.
      Balises (locales) Balises disponibles sur l’instance de l’organisation hôte permettant d’activer le balisage pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés MISP lorsque vous utilisez des balises locales. Ces balises sont toujours supprimées avant d’être synchronisées avec d’autres instances et communautés de MISP partage.
      Balises (globales) Balises disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des balises globales aux MISP instances, vous modifiez les événements.
      Galaxies (locales) Galaxies disponibles sur l’instance de l’organisation hôte pour la synchronisation et le filtrage des exportations. MISP Les événements ne sont pas modifiés lorsque vous utilisez des galaxies MISP locales. Ces galaxies sont toujours dépouillées avant d’être synchronisées avec d’autres MISP instances et communautés de partage.
      Galaxies (globales) Galaxies disponibles globalement pour être partagées et synchronisées avec d’autres instances et communautés de MISP partage. Lorsque vous ajoutez des galaxies globales, MISP les événements sont modifiés.
    6. Pour modifier une balise locale ou globale, cliquez sur l’icône Modifier l’icône Modifier. dans l’une des options suivantes :
    • Balises (locales)
    • Balises (globales)
    1. Dans la boîte de dialogue Balises d’attribut MISP, entrez le nom de la balise à rechercher et ajoutez-la.
    2. Cliquez sur Mettre à jour les balises vers l’attribut MISP.

      L’exemple suivant montre qu’en cliquant sur l’icône de modification des balises locales, vous pouvez rechercher et ajouter les balises C3, Adware, C2 et Botnet 3101, et mettre à jour le serveur MISP avec les balises. Le message de confirmation indique que toutes les balises ont été mises à jour dans MISP.

      Les balises sont mises à jour avec succès dans le MISP serveur.
    3. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Ajouter ou supprimer des galaxies à un événement ou à un MISP attribut

    Ajoutez ou supprimez des galaxies afin MISP de classer ces objets en tant qu’amas et MISP de les attacher à des événements ou à MISP des attributs.

    Avant de commencer

    • Examinez le MISP Rôle d’utilisateur et autorisations pour utiliser les MISP fonctionnalités bidirectionnelles.
    • Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    • Notez que les balises et les galaxies qui sont à votre disposition sont basées sur la source et ses MISP autorisations de distribution.
    • Rôle requis : sn_sec_misp.write

    Procédure

    1. Cliquez sur l’icône Modifier l’icône Modifier. dans l’une des options suivantes.
    • Galaxies (locales)
    • Galaxies (globales)
    1. Dans la boîte de dialogue Galaxies d’événements MISP, renseignez les détails.
      Tableau 3. Boîte de dialogue Galaxies d’événements MISP
      Champ Description
      ID d'événement ID d’événement affecté par le serveur lors de la MISP création ou de l’importation de l’événement pour la première fois dans MISP.
      Espace de noms Espace de noms dans lequel la galaxie est stockée. Vous pouvez utiliser des espaces de noms pour regrouper des galaxies similaires.
      Galaxies Galaxie dans laquelle vous stockez les informations d’amas.
      Clusters Informations sur les amas de la galaxie.
    2. Cliquez sur Mettre à jour les galaxies vers l’attribut MISP.
      L’exemple suivant montre qu’en cliquant sur l’icône de modification des galaxies locales, vous pouvez sélectionner l’espace de noms déconseillé, sélectionner la galaxie Enterprise Attack - Attack Pattern et ajouter les informations du cluster. Une fois les informations de la galaxie mises à jour, vous pouvez afficher le message de réussite.

    3. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Résultats

    Les informations sur la galaxie sont mises à jour avec succès dans le MISP serveur.

    Ajouter des commentaires à l’attribut MISP

    Ajoutez des commentaires pour les MISP attributs. Les commentaires que vous ajoutez le sont uniquement à des fins d’information et ne sont pas utilisés pour la corrélation des MISP données.

    Avant de commencer

    Procédure

    1. Cliquez sur l’icône Modifier dans le champ Commentaire .
    2. Saisissez votre commentaire dans le champ Commentaire d’attribut.
    3. Cliquez sur Mettre à jour un commentaire sur l’attribut MISP.
      L’exemple suivant montre qu’en cliquant sur l’icône de modification en regard du champ de commentaire, vous pouvez ajouter un commentaire, puis mettre à jour l’attribut MISP . Une fois le commentaire mis à jour, vous pouvez afficher le message de réussite.

    4. Pour afficher les changements dans l’enregistrement, cliquez sur Recharger le formulaire dans le message de réussite.

    Résultats

    Le commentaire est mis à jour avec succès dans le MISP serveur.