Configurer la façon dont un événement automatique est créé

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Configurez le Now Platform pour créer automatiquement des événements dans MISP.

    Avant de commencer

    Procédure

    1. Accédez à la Tous > Intégration de MISP > Profils de création automatique d'événements.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de nom
      Champ Description
      Nom Nom du profil de création automatique d’événements.
      Description Brève description du profil. Une description plus détaillée est partagée via les attributs à l’étape suivante de la création de l’événement.
      Ordre Ordre du profil lorsque les conditions de déclenchement sont remplies. La valeur par défaut est 100. Laissez ce paramètre tel qu’il est par défaut.

      Si vous créez plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le profil avec le numéro le plus bas a la priorité la plus élevée.
      Source MISP Source pour la création de l’événement.
      Actif Option qui indique si le profil est actif ou inactif. L’option est désactivée par défaut pour indiquer que le profil est désactivé.

      Ce profil n’est pas actif tant que vous n’avez pas terminé toutes les étapes de configuration de profil et que vous n’avez pas cliqué sur Terminer.
    4. Cliquez sur Continuer.

    Configurer les conditions de déclenchement d’événement

    Configurez les conditions de déclenchement d’événement dans le Now Platform afin de pouvoir déclencher automatiquement un événement lorsque MISP les conditions sont remplies.

    Avant de commencer

    Rôle requis : sn_sec_misp.write

    Procédure

    1. Dans le formulaire Conditions de déclenchement, renseignez les détails qui peuvent déclencher un événement.
      Vous pouvez créer une logique de composé en fournissant les conditions de déclenchement basées sur des champs d’incident de sécurité ou des champs observables. Vous pouvez également créer des événements dans MISP si les observables n’ont pas d’événement correspondant dans MISP. Vous pouvez choisir de créer une logique de composé à l’aide d’une combinaison des trois conditions de déclenchement : Déclencher basé sur les champs d’incident de sécurité, Déclencher basé sur les champs observables et Créer un événement MISP, si un observable n’a pas d’événements correspondants dans MISP. Si vous sélectionnez plusieurs déclencheurs, vous pouvez les joindre à l’aide de la condition ET. Envisagez de créer un profil avec de nouvelles conditions si vous devez utiliser la condition OR.
      Tableau 2. Formulaire Conditions de déclenchement d’événement
      Champ Description
      Déclencher en fonction des champs d'incident de sécurité MISP Événement que vous pouvez créer si toutes les conditions de déclenchement d’incident de sécurité sont remplies.
      Conditions de déclenchement des incidents de sécurité Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du créateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être remplies. Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
      Déclencher en fonction des champs observables MISP Événement que vous pouvez créer si toutes les conditions de déclenchement observables sont remplies.
      Conditions de déclenchement des observables Filtres de la première ligne que vous pouvez définir à l’aide des listes et des champs du créateur de conditions. Pour ajouter d’autres conditions, cliquez sur ET ou OU. Si ET est sélectionné, toutes les conditions doivent être remplies. Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.

      Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.
      Créer un événement MISP en l'absence d'événements correspondants pour l'observable dans MISP MISP Événement que vous pouvez créer si un observable ne possède pas d’événements correspondants dans MISP.
      Figure 1. Conditions de déclenchement d’événement

      L’exemple suivant montre les conditions de déclenchement d’événement lorsque vous configurez le profil de création d’événement MISP .

      Configurez les conditions basées sur un événement créé dans MISP.
    2. Cliquez sur Continuer.

    Mapper les champs d’événements MISP

    Mappez les champs d’événements dans le afin que les informations sur les MISP incidents de sécurité soient disponibles lors MISP de la Now Platform création des événements.

    Avant de commencer

    Rôle requis : sn_sec_misp.write

    Procédure

    1. Renseignez les champs du formulaire.
      Tableau 3. Formulaire de mappage de champs d’événements MISP par défaut
      Champ Description
      Informations sur l'événement Informations sur l’événement qui sont automatiquement créées à partir du Now Platform Réponse aux incidents de sécuritéfichier .

      Le champ Informations sur l’événement prend en charge les variables de substitution à l’aide de ${SIR FIELD LABEL}$. Lors de la création d’un événement, ces variables sont remplacées par les valeurs de champ réelles de l’incident de sécurité. La variable de substitution ${URL}$ est remplacée par l’URL de l’incident de sécurité.
      Distribution Option qui contrôle qui peut voir cet événement après sa publication. Cette option contrôle également si l’événement est synchronisé avec d’autres serveurs. La distribution est héritée par les attributs, et le paramètre le plus restrictif l’emporte. Les options de distribution sont les suivantes :
      • Votre organisation uniquement : permet uniquement aux membres de votre organisation de voir cet événement. L’événement peut être transféré vers une autre instance par l’un des membres de votre organisation, où seule votre organisation peut y avoir accès. Les événements avec ce paramètre ne sont pas synchronisés.
      • Cette communauté uniquement : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement, y compris votre propre organisation, les organisations sur ce MISP serveur et les organisations qui exécutent des serveurs qui se MISP synchronisent avec ce serveur. Toutes les autres organisations qui se connectent à vos serveurs liés ne peuvent pas voir l’événement.
      • Communautés connectées : permet aux utilisateurs qui font partie de votre MISP communauté de voir l’événement, y compris toutes les organisations sur ce MISP serveur, toutes les organisations sur les MISP serveurs qui se synchronisent avec ce serveur et les organisations d’hébergement des serveurs qui se connectent à n’importe quel serveur situé à deux sauts. Toutes les autres organisations connectées aux serveurs liés situés à deux sauts de distance ne peuvent pas voir l’événement.
      • Toutes les communautés : partage l’événement avec toutes les MISP communautés.
      Niveau de menace Champ qui indique le niveau de risque de l’événement. Vous pouvez classer les incidents en trois catégories de menaces différentes (faible, moyenne et élevée). Ce champ peut également être laissé comme non défini. Les options sont les suivantes :
      • Faible : programme malveillant de masse général
      • Moyen : Menaces persistantes avancées (APT)
      • Élevé : APT sophistiqués et attaques 0-day
      État de l'analyse Étape actuelle de l’analyse pour l’événement, avec les options possibles suivantes :
      • Initial : L’analyse ne fait que commencer
      • En cours : l’analyse est en cours
      • Completed : l’analyse est terminée
      L’exemple suivant montre le formulaire que vous pouvez utiliser pour créer un événement dans MISP.
      Figure 2. Mappage de champ d'événement MISP par défaut
      Configurez le formulaire pour créer un nouvel événement dans MISP.
    2. Cliquez sur Continuer.

    Mapper ou associer des SIR observables en tant qu’attributs à des MISP événements

    Mappez les types des Réponse aux incidents de sécurité observables aux types d’attributs, MISP car les types d’attributs MISP et les SIR observables peuvent être différents.

    Avant de commencer

    Rôle requis : sn_sec_misp.write

    Pourquoi et quand exécuter cette tâche

    Le MISP integration for Security Operations fournit un mappage de système de base que vous utilisez lorsque vous ajoutez SIR des observables comme attributs à un MISP événement.

    Vous pouvez choisir de modifier le mappage du système de base en fonction de votre environnement. Par exemple, vous pouvez mapper plusieurs SIR observables à un seul type d’attribut MISP . si des types d’observables ne sont pas mappés, l’autre MISP type d’attribut est sélectionné par défaut.

    Procédure

    1. Sur le formulaire Options supplémentaires, mappez les types d’observable et MISP d’attributSIR.
    2. Mappez les types d’observables Réponse aux incidents de sécurité aux types d’attributs, MISP comme décrit dans le tableau suivant.
      Tableau 4. Correspondance entre les observables du SIR et les types d'attributs du MISP
      Champ Description
      Ajouter tous les observables associés en tant qu'attributs Option que vous activez pour ajouter des observables disponibles dans un incident de sécurité à un MISP événement en tant qu’attributs.

      Cette option active le mappage dans la section Type d’observable sur le mappage de type d’attribut.
      Mappage du type d’observable au type d’attribut Option permettant de mapper les types d’observables SIR aux types d’attributs MISP . Par exemple, vous pouvez mapper le numéro CVE à SIR l’attribut de vulnérabilité dans MISP.

      Vous ne pouvez ajouter un SIR type d’observable qu’à un seul type d’attribut MISP .

      Le système de base fournit un mappage des types observables aux types d’attributs SIRMISP .

      Si des types d’observables SIR ne sont pas mappés à un type d’attribut MISP , l’observable est mappé sur l’autre type d’attribut dans MISP.

      Pour ajouter un nouveau mappage, cliquez sur Ajouter un type d’observable, recherchez le type d’observable SIR , puis mappez-le au type d’attribut correspondant MISP .

      Cliquez sur l’icône Supprimer le mappage Supprimer le mappage. pour supprimer l’association de mappage d’attribut SIR et MISP .

      Remarque :
      Pour plus d’informations sur MISP les types d’attributs, consultez la documentation MISP.
      Définir le marqueur IDS d'attribut lorsque le résultat observable est malveillant Option qui vous permet de savoir que si un observable est marqué comme malveillant dans , le marqueur IDS est activé pour SIRl’attribut correspondant dans MISP . Si le marqueur IDS n’est pas défini, l’attribut est considéré comme une information contextuelle et n’est pas utilisé pour la détection automatique des intrusions.

      L’exemple suivant montre comment accéder à la page des options supplémentaires. Sur cette page, vous pouvez activer le mappage des observables SIR et des types d’attributs MISP, ajouter de nouveaux SIR types d’observables, tels que le réseau IPV6 et le réseau IPV4, et les mapper à l’adresse IP du domaine de type MISP d’attribut.

      Figure 3. Mapper des SIR observables et MISP des types d’attributs
      Mappez l’observable SIR et le type d’attribut MISP.

    Synchroniser les informations avec MISP les MITRE-ATT&CK événements

    Synchronisez les informations avec MISP des MITRE-ATT&CK attributs pour une meilleure analyse des incidents de sécurité et des menaces.

    Avant de commencer

    Rôle requis : sn_sec_misp.write

    Procédure

    Dans le formulaire Options supplémentaires, examinez les options pour synchroniser les MITRE-ATT&CK informations avec les MISP attributs.
    Tableau 5. Formulaire Options avancées
    Champ Description
    Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies locales à l’événement MISP Option permettant de synchroniser les techniques d’incident Now Platform SIRMITRE-ATT&CK™ de sécurité en tant que galaxies locales dans l’événement MISP .
    Remarque :
    Pour ajouter des galaxies locales, l’utilisateur qui a configuré l’intégration doit appartenir à l’organisation hôte du serveur correspondant MISP .
    Synchroniser les techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies globales à l’événement MISP Option permettant de synchroniser les Now Platform SIR techniques d’incident MITRE-ATT&CK™ de sécurité en tant que galaxies globales dans l’événement MISP .

    Résultats

    Vous avez créé un profil qui vous permet de créer automatiquement des événements dans MISP à Now Platformpartir du . Vous pouvez maintenant afficher les événements dans la liste connexe des événements MISP associés.