Recherches de perception dans MISP

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Vous pouvez effectuer des recherches de perception sur les observables de l’instance MISP pour déterminer la fréquence à laquelle certains types d’attaques, tels que les attaques de hameçonnage ou les communications avec une adresse IP ou une URL malveillante, se produisent dans votre réseau. Chaque occurrence est considérée comme une observation.

    Observations dans MISP

    Les observations indiquent qu’un indicateur, un objet ou un attribut a été vu et que sa validité est confirmée. Sightings in MISP est un système qui vous permet de répondre aux attributs d’un événement. Il est conçu pour fournir une méthode simple à vos utilisateurs pour confirmer qu’ils ont vu un attribut donné, ce qui lui donne plus de crédibilité. Vous pouvez afficher un attribut plusieurs fois.
    Remarque :
    Les observables sont appelés attributs dans MISP.

    Certains attributs sont considérés comme des faux positifs, ce qui signifie qu’il ne s’agit pas d’observations valides. D’autres attributs ne sont valides que pendant une certaine durée, comme une campagne d’hameçonnage qui ne dure qu’une semaine. Vous pouvez affecter une date d’expiration aux attributs qui sont valides pour une certaine durée, mais chaque organisation ne peut affecter qu’une seule date d’expiration valide à un attribut.

    Les perceptions créées MISP par les utilisateurs d’organisations marquées comme locales dans le serveur MISP correspondant sont appelées perceptions internes. Les perceptions créées MISP par les utilisateurs d’organisations marquées comme distantes sur le serveur correspondant MISP sont connues sous le nom de perceptions externes.

    Recherches de perception dans SIR

    Le workflow Security Operations Integration - Recherche de perceptions exécute la recherche de perceptions. Ce workflow accepte une liste d’observables, trouve toutes les options d’implémentation, crée les requêtes basées sur les configurations de recherche de perception et exécute les recherches basées sur le workflow configuré.

    Les recherches de perception aident les analystes à déterminer la prévalence d’une menace dans le temps. Vous pouvez sélectionner un ou plusieurs observables et la plage de dates pour votre recherche à partir d’un incident de sécurité. Les résultats sont inclus dans les listes connexes Observations d’incidents de sécurité, Résultats de recherche de perceptions et Détails de recherche de perceptions .

    Lorsque vous commencez à analyser un incident, vous pouvez configurer votre Now Platform service pour effectuer automatiquement une recherche de perceptions ou effectuer manuellement une recherche de perceptions observables afin d’identifier d’autres utilisateurs de votre organisation qui sont touchés par la même attaque de hameçonnage.

    Activer les recherches automatiques de perception dans MISP

    Activez l’exécution automatique de la recherche de perception afin MISP que le workflow Security Operations Integration - Recherche de perceptions soit déclenché chaque fois que de nouveaux observables sont associés à un incident de sécurité.

    Avant de commencer

    Vérifiez que l’option Profil de configuration de la recherche de perceptions pour MISP est actif.

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Si vous activez l’aptitude de recherche de perception à exécuter automatiquement dans le MISP Configuration de l’intégration, la recherche de perception dans MISP se déclenche lorsque de nouveaux observables sont associés à un incident de sécurité. Par défaut, l’option Exécuter automatiquement la recherche de perception lorsque de nouveaux observables sont associés à l’incident de sécurité est activée.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables que vous souhaitez afficher dans les données de recherche d’observations MISP .
    3. Examinez les notes de travail une fois que de nouveaux observables ont été associés à l’incident de sécurité.
      Une note de travail est publiée lorsque le workflow Security Operations Integration - Recherche de perceptions est déclenché.

      L’exemple suivant montre la section Notes de travail.

      Affichez les notes de travail et vérifiez si le workflow de recherche de perceptions s’est déclenché.
    4. Affichez les informations agrégées des observables qui sont observés dans tous les événements (globaux) et classés par leurs perceptions internes ou externes une fois l’exécution du workflow terminée.
      Affichez les informations dans les listes connexes Observations, Résultats de recherche de perceptions et Détails de recherche de perceptions . L’exemple suivant montre l’enregistrement de recherche d’observations qui a été créé dans la liste connexe Observations.
      Affichez l’enregistrement de recherche d’observations qui a été créé dans l’onglet Observations.
      Tableau 1. Enregistrement de recherche d’observations
      Champ Description
      Créé Date et heure de création de l’enregistrement de recherche d’observations.
      Observable Observable recherché par la requête.
      Nombre de perception Nombre de perceptions internes et externes.
      Source Source de l’observable. Si l’observable provient d’une MISP organisation, l’enregistrement est précédé des mots MISP.
      Est local État indiquant si l’observation a été signalée par un utilisateur interne.
      Lien de recherche sur la perception Lien de recherche de perception dans l’instance MISP .
      Résumé Type d’observations associées à l’enregistrement. Les trois types d’observations sont l’observation, le faux positif et l’expiration.

      La colonne Résumé s’affiche uniquement lorsque l’est MISP integration for Security Operations installé. Si des sources autres que MISP s’affichent, l’entrée de colonne Résumé est vide pour cet enregistrement.

    Effectuer une recherche manuelle de perception dans MISP

    Sélectionnez un ou plusieurs observables et effectuez une recherche de perception manuelle dans l’application pour déterminer la prévalence d’une menace dans le Now Platform MISP integration for Security Operations temps.

    Avant de commencer

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez exécuter la MISP recherche de perceptions.
    3. Cliquez sur Afficher toutes les listes connexes et l’onglet Observables associés .
    4. Sélectionnez l’observable, puis dans le menu Actions, cliquez sur Exécuter la recherche de perceptions.
      Vous pouvez sélectionner plusieurs observables pour une recherche d’observations.
      La boîte de dialogue Exécuter la recherche de perceptions s’ouvre.
    5. Spécifiez la plage de dates pour rechercher les données de recherche d’observations.
      Tableau 2. Boîte de dialogue Exécuter la recherche d’observations
      Champ Description
      Dernier Nombre d’heures ou de jours avant la création de l’incident à rechercher.

      La valeur par défaut est de 7 jours. La limite est de 99 heures ou jours.
      entre Plage de dates à rechercher. Les dates par défaut sont les suivantes :
      • Date et heure de création de l’incident.
      • Date et heure sept jours avant l’ouverture de l’incident.
    6. Cliquez sur Rechercher.
      L’exemple suivant montre les résultats de la recherche manuelle de perception dans les notes de travail.
      Résultats de la recherche manuelle de perception dans les notes de travail.

    Résultats

    Un enregistrement de recherche d’observations est créé. Une fois l’exécution du workflow terminée, vous pouvez afficher les informations agrégées des observables qui sont observés dans tous les événements (globaux) et classés selon leurs observations internes ou externes. Les données agrégées et les données de perceptions associées sont affichées dans l’incident de sécurité sous les listes connexes Perceptions, Résultats de recherche de perceptions et Détails de recherche de perceptions .

    Signaler des observations à MISP

    Signalez les perceptions de données de menace afin de pouvoir réagir aux faux positifs dans vos données et d’accroître votre vigilance lorsqu’une menace réellement positive se produit. Vous pouvez également ajouter une date d’expiration pour un observable ou un attribut particulier.

    Avant de commencer

    Pourquoi et quand exécuter cette tâche

    Le MISP integration for Security Operations vous permet de signaler des observations à l’échelle MISP globale pour tous les événements. Pour signaler une observation à un événement spécifique, vous devez utiliser l’instance MISP et signaler l’observation localement.

    Pour signaler une observation à MISP, l’observable ou l’attribut doit être disponible dans l’instance MISP .

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité qui contient les observables pour lesquels vous souhaitez signaler les observations MISP .
    3. Cliquez sur Afficher toutes les listes connexes et la liste connexe Observations.
    4. Sélectionnez l’observable puis, dans le menu Actions, sélectionnez l’une des options suivantes.
      OptionDescription
      MISP : signaler la perception d’un observable Signaler l’observable comme vu à MISP. Si l’observable est associé à plusieurs événements, il est mis à jour dans tous les événements.
      MISP : signaler un observable comme faux positif Signaler l’observable comme faux positif à MISP.
      MISP : signaler un observable comme expiré Signaler l’observable comme expiré à MISP.
      Si vous sélectionnez des observables qui ne sont pas spécifiques à une MISP source, le menu Actions affiche le nombre de sources pertinentes MISP . L’exemple suivant montre quatre observables sur huit comme étant pertinents pour MISP. L’exemple suivant montre le menu Actions et les observables pertinents à soumettre.
      Figure 1. Menu Actions qui affiche les observables pertinents pour soumission
      Le menu Actions affiche les observables pertinents pour MISP.
    5. Facultatif : Si vous avez sélectionné l’option MISP : signaler une observation observable , vous devez remplir les champs de la boîte de dialogue Signaler une observation observable sur MISP.
      Tableau 3. Boîte de dialogue Signaler une observation observable dans MISP
      Champ Description
      Source Champ source qui correspond à la MISP source de l’observation.
      Date Champ de date qui correspond à la date à laquelle l’observable est observé. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.

      L’exemple suivant montre comment accéder à la liste connexe Observations dans l’incident de sécurité. Dans cette liste, vous pouvez sélectionner un observable et signaler l’observation observable à MISP. Le message de réussite indique que l’observation a été soumise avec succès à MISP.

      Figure 2. Signale la perception observable à MISP
      Signale la perception observable à MISP
      1. Cliquez sur Signaler une observation.
    6. Facultatif : Si vous avez sélectionné l’option MISP : rapporter les observables comme faux positifs , vous devez renseigner les champs de la boîte de dialogue Signaler les observables comme faux positifs vers MISP .
      Tableau 4. Signaler l’observable comme faux positif dans la boîte de MISP dialogue
      Champ Description
      Source (facultatif) Champ source qui correspond à la MISP source. Utilisez ce champ pour déclarer l’observable comme faux positif.
      Date Champ Date qui correspond à la date à laquelle l’observable s’est avéré être un faux positif. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.
      1. Cliquez sur Signaler un faux positif.
    7. Facultatif : Si vous avez sélectionné l’option MISP : rapporter les observables comme expirés , vous devez renseigner les champs de la boîte de dialogue Signaler l’expiration des observables à MISP .
      Tableau 5. Boîte de dialogue Signaler l’expiration de l’observable à MISP
      Champ Description
      Source Champ source qui correspond à la MISP source. Utilisez ce champ pour définir un observable comme expiré.
      Date Champ de date qui correspond à la date d’expiration de l’observable. Si la date est vide, la date et l’heure actuelles sont renseignées dans MISP.
      1. Cliquez sur Reporter l’expiration.

    Résultats

    Les observations sont mises à jour avec succès sur le MISP serveur.