Events in MISP verwalten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 10 Minuten Lesedauer

    • Sie können Events in MISP automatisch oder manuell über Now Platformerstellen. Sie können die Event-Daten auch in MISP über Now Platformbearbeiten.

    Es werden automatisch erstellte Events in überprüft MISP

    Sie können die automatisch erstellten Events überprüfen, nachdem Sie das Event-Erstellungsprofil in Ihrer Now Platform -Instanz konfiguriert haben.

    Profil für die automatische Event-Erstellung

    Die Konfiguration des Profils für die automatische Event-Erstellung erfolgt über die Benutzerrollen sn_si.admin oder sn_ti.admin in MISP-Integration > Profile für die automatische Erstellung von Ereignissen -Modul.

    Anzeigen der Event-Daten MISP .

    Sie können die erstellten Events wie folgt anzeigen:

    • Zeigen Sie die Arbeitsnotizen für die erstellten Events an. Sie können die Event-Details in der Instanz Now Platform und auch so anzeigen, wie sie auf dem Server MISP angezeigt werden, wie im folgenden Beispiel gezeigt.
      Abbildung : 1. Arbeitsnotizen für erstellte Events
      Zeigen Sie die Arbeitsnotizen für erstellte Events an.
    • Klicken Sie auf die zugehörige Liste Zugeordnete MISP-Ereignisse. Hier können Sie das Event in Bezug auf den Security Incident und die Ressourcen MISP anzeigen, wie im folgenden Beispiel gezeigt.
      Abbildung : 2. Liste der zugeordneten Events
      Zeigen Sie die Liste der zugeordneten Events an
    • Zeigen Sie die Ereignisdaten MISP in der Formularansicht an, um die detaillierten Informationen zu den Ereignissen MISP zu überprüfen, wie im folgenden Beispiel gezeigt.
      Abbildung : 3. Event-Daten in der Formularansicht
      Zeigen Sie die Event-Daten in der Formularansicht an, um die detaillierten MISP-Event-Informationen anzuzeigen.

    Erstellen Sie ein Event manuell in MISP

    Erstellen Sie Events in MISP manuell aus Now Platform, um kontextbezogene Informationen zu erfassen, die als Attribute und Objekte dargestellt werden.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie ein Event erstellen möchten.
    3. Klicken Sie auf Neues Event in MISP erstellen.
    4. Geben Sie im Dialogfeld „Neues Event in MISP erstellen“ die Details ein.
      Tabelle : 1. Erstellen Sie ein Event im MISP-Dialogfeld
      Feld Beschreibung
      Datum Erstellungsdatum des Ereignisses in MISP.
      Information zum Ereignis Ereignisinformationen, die automatisch aus Now Platform Security Incident Responseerstellt werden.
      Bedrohungsstufe Risikostufe des Ereignisse. Sie können die Incidents in drei verschiedene Bedrohungskategorien (niedrig, mittel, hoch) kategorisieren. Dieses Feld kann auch als undefiniert belassen werden. Im Folgenden sind die Optionen aufgeführt:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgereifte APTs und 0-Tage-Angriffe
      Quelle MISP Quelle für die Event-Erstellung.
      Verteilung Option, die steuert, wer dieses Event anzeigen kann, nachdem das Event veröffentlicht wurde. Diese Option steuert auch, ob das Event mit anderen Servern synchronisiert wird. Die Verteilung wird von den Attributen geerbt. Die restriktivste Einstellung hat Vorrang. Die Verteilungsoptionen lauten wie folgt:
      • Nur Ihre Organisation: Ermöglicht nur den Mitgliedern Ihrer Organisation, dieses Event anzuzeigen. Das Event kann von einem Ihrer Organisationsmitglieder in eine andere Instanz abgerufen werden, wo nur Ihre Organisation Zugriff hat, um es anzuzeigen. Events mit dieser Einstellung werden nicht synchronisiert.
      • Nur diese Community: Ermöglicht Benutzern, die Teil Ihrer MISP Community sind, das Event anzuzeigen, einschließlich Ihrer eigenen Organisation, Organisationen auf diesem MISP Server und Organisationen, die MISP Server ausführen, die mit diesem Server synchronisieren. Alle anderen Organisationen, die mit verknüpften Servern verbunden sind, können das Event nicht anzeigen.
      • Verbundene Communities: Ermöglicht Benutzern, die Teil Ihrer Community MISP sind, das Event anzuzeigen, einschließlich aller Organisationen auf diesem Server MISP, aller Organisationen auf Servern MISP, die mit diesem Server synchronisiert werden, und der Hosting-Organisationen von Servern, die eine Verbindung zu einem beliebigen Server herstellen , der zwei Hops entfernt ist. Alle anderen Organisationen, die mit den verknüpften Servern verbunden sind, die zwei Hops von diesem Server entfernt sind, können das Event nicht anzeigen.
      • Alle Communitys: Gibt das Event für alle MISP Communities frei.
      Analyse Aktuelle Phase der Analyse für das Event mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Erweiterte Optionen Alle SIR-zugeordneten erkennbaren Elemente als Attribute zum MISP-Event hinzufügen Option zum Hinzufügen verfügbarer erkennbarer Elemente in einem Security Incident zu einem MISP -Ereignis als Attribute.

      Diese Option aktiviert die Option Attribut-IDS festlegen, wenn erkennbares Element böswillig ist.
      Legen Sie die Attribut-IDS-Kennzeichnung fest, wenn die Erkennung von erkennbaren Elementen schädlich ist. Erkennbares Element, das in SIRals schädlich markiert ist. Das entsprechende Attribut in MISP wird ebenfalls als „true“ markiert.
      MITRE ATT&CK-Techniken des Security Incident als lokale Galaxien im MISP-Ereignis synchronisieren Option zum Synchronisieren der Security Incident-Techniken von Now Platform SIRMITRE-ATT&CK™ als lokale Galaxien im Event MISP.
      MITRE ATT&CK-Techniken des Security Incident als globale Galaxien im MISP-Ereignis synchronisieren Option zum Synchronisieren der Now Platform SIR Security Incident-Techniken MITRE-ATT&CK™ als globale Galaxien im Ereignis MISP.
    5. Klicken Sie auf Neues MISP-Ereignis erstellen.

      Das folgende Beispiel zeigt, dass Sie durch Erstellen eines Events in MISPdie Ergebnisse im Security Incident anzeigen können. Sie können auch die Arbeitsnotizen, das Event in der Instanz Now Platform und das Event auf dem Server MISP anzeigen, wie im folgenden Beispiel gezeigt.

      Abbildung : 4. Erstellen Sie ein Event in MISP manuell über die Now Platform
      Erstellen Sie ein Event in MISP manuell über die Now Platform.
      Sie können die Ergebnisse auf folgende Arten anzeigen:
      • Eine Erfolgsmeldung wird oben auf der Security Incident-Seite angezeigt. Sie können die Event-Details in der Instanz Now Platform und auf dem Server MISP anzeigen.
      • In den Arbeitsnotizen können Sie die Erfolgsmeldung mit weiteren Details anzeigen. Sie können die Event-Details auch in der Instanz Now Platform und auf dem Server MISP anzeigen.
      • In der zugehörigen Liste Zugeordnete MISP-Ereignisse können Sie das Event in Bezug auf den Security Incident und die MISP -Ressourcen anzeigen.

    Fügen Sie einem MISP -Event Attribute hinzu

    Fügen Sie einem Event Attribute hinzu, z. B. Typ, Kategorie und andere kontextbezogene Informationen zum Event.

    Vorbereitungen

    • Überprüfen Sie die MISP Benutzerrolle und Berechtigungen für die Verwendung der bidirektionalen Funktionen von MISP.
    • Vergewissern Sie sich, dass das Event, zu dem Sie das Attribut hinzufügen oder aktualisieren, zu derselben Organisation gehört wie der Benutzer MISP.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > MISP > Zugeordnete MISP-Ereignisse.
      Sie können auch in jedem Security Incident zur zugehörigen Liste Zugeordnetes MISP-Ereignis navigieren.
    2. Klicken Sie auf das MISP-Ereignis, für das Sie ein Attribut hinzufügen möchten.
    3. Klicken Sie auf Attribut zu MISP-Ereignis hinzufügen.
    4. Füllen Sie im Dialogfeld Attribut zu Event hinzufügen die Details aus.
      Tabelle : 2. Dialogfeld „Attribut zu Event hinzufügen“
      Feld Beschreibung
      Wert Tatsächlicher Wert des Attributs. Geben Sie Daten zum Wert ein, die darauf basieren, was für den ausgewählten Attributtyp gültig ist. Beispiel: Für ein Attribut vom Typ ip-src (Quell-IP-Adresse) ist 11.11.11.11 ein gültiger Wert.
      Hinweis:
      Sie können nur Attribute oder erkennbare Elemente auswählen, die den Kontext mit dem Event teilen. Die erkennbaren Elemente dürfen nicht bereits ein Attribut in MISPhaben.
      Kategorie Kategorie des Attributs. Die Kategorie beschreibt den Aspekt der Malware für dieses Attribut. Ein Beispiel wären die Persistenzmechanismen der Malware- oder Netzwerkaktivität.
      Typ Typ, der die Kategorie erläutert. Wenn ein Angreifer beispielsweise eine IP-Adresse für einen Angriff verwendet, kann eine Quell-E-Mail-Adresse oder eine über einen Anhang gesendete Datei die Nutzlastbereitstellung einer Malware beschreiben. Diese Arten von Attributen haben die Kategorie der Nutzlastlieferung.
      Verteilung Benutzer, die dieses Attribut anzeigen können. Die Verteilung wird von Attributen geerbt. Die restriktivste Einstellung hat Vorrang.
      Attribut als IDS-Signatur verwenden Erkennbares Element, das in SIRals schädlich markiert ist. Das entsprechende Attribut in MISP wird ebenfalls als „true“ markiert.
      Kommentare Kommentare, die Sie für die Attribute hinzufügen.

      Das folgende Beispiel zeigt, dass Sie durch Navigieren aus der Liste Zugeordnete MISP-Ereignisse den Ereignisdatensatz 5627 anzeigen und dem Ereignis Attribute hinzufügen können. Die Attribute umfassen den Wert (testdomain.com), die Kategorie als externe Analyse und den Typ als Domäne. Sie können auch IDS aktivieren. Die Erfolgsmeldung im Event-Datensatz zeigt, dass das Attribut dem Event hinzugefügt wurde, wie im folgenden Beispiel gezeigt.

      Abbildung : 5. Fügen Sie einem MISP-Ereignis ein Attribut hinzu
      Attribut wird einem MISP-Ereignis hinzugefügt.
    5. Klicken Sie auf Attribut zu MISP-Ereignis hinzufügen.

    Ergebnisse

    Sie können das hinzugefügte Attribut im Abschnitt Attribute anzeigen.

    Fügen Sie einem MISP -Ereignis Tags hinzu

    Fügen Sie Tags in Now Platform MISP hinzu, um Events oder Attribute zu klassifizieren. Sie können Tagging global verwenden, um Ihre Klassifizierung zu aktivieren, oder Tags lokal verwenden, wenn MISP Events während der Klassifizierung nicht geändert werden sollen.

    Vorbereitungen

    • Überprüfen Sie die MISP Benutzerrolle und Berechtigungen für die Verwendung der bidirektionalen Funktionen von MISP.
    • Vergewissern Sie sich, dass das Event, das Sie bearbeiten, zu derselben Organisation gehört wie der Benutzer MISP.
    • Beachten Sie, dass die Tags und Galaxien, die Ihnen zur Verfügung stehen, auf der Quelle MISP und ihren Verteilungsberechtigungen basieren.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der das Event enthält, für das Sie Tags hinzufügen möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die zugehörige Liste MISP-Ergänzungsergebnisse anzeigen.
    4. Klicken Sie in der Liste der Ergänzungsergebnisse auf die Event-ID.
      Sie können auch über navigieren MISP > Zugeordnete MISP-Ereignisse -Modul.
    5. Überprüfen Sie den MISP-Ereignisdatensatz.
      Tabelle : 3. MISP-Ereignisformularansicht
      Feld Beschreibung
      Event-ID Event-ID, die von MISP zugewiesen wurde, als das Event zuerst erstellt oder auf den Server MISP importiert wurde.
      UUID ID, die Events und Attribute eindeutig identifiziert
      Erstellerorganisation Organisation, die das Event in der Instanz MISP erstellt hat.
      Besitzerorganisation Organisation, die das Event in der Instanz MISP besitzt. Dieses Feld ist nur für Administratoren sichtbar.
      Erstelleranwender Benutzer, der das Event in MISPerstellt hat.
      Letzter Change Datum, an dem das Event zuletzt geändert wurde.
      MISP-Quelle MISP Quelle, in der das Event erstellt wird.
      Erstellungsdatum (in MISP) Datum, an dem das Event erstellt oder erstmals auf dem Server MISP importiert wurde.
      Bedrohungsstufe Risikostufe des Ereignisse. Incidents können in drei verschiedene Bedrohungskategorien (niedrig, mittel, hoch) eingeteilt werden. Dieses Feld kann als undefiniert belassen werden. Im Folgenden sind die Optionen aufgeführt:
      • Niedrig: Allgemeine Massen-Malware
      • Mittel: Advanced Persistent Threats (APT)
      • Hoch: Ausgereifte APTs und 0-Tage-Angriffe
      Analyse Aktuelle Phase der Analyse für das Event mit den folgenden möglichen Optionen:
      • Anfänglich: Die Analyse beginnt gerade
      • Laufend: Die Analyse wird ausgeführt
      • Abgeschlossen: Die Analyse ist abgeschlossen
      Verteilung Verteilung des einzelnen Attributs. Ein Attribut kann eine andere Verteilungsebene als das Event haben.
      Veröffentlicht Status, ob das Event veröffentlicht wurde oder nicht. Durch die Veröffentlichung können die Attribute des Events für alle berechtigten Exporte verwendet werden. Außerdem werden Benutzer benachrichtigt, die die Event-Warnungen abonniert haben.
      MISP-Ereignis-Hyperlink Link zum Ereignis MISP, das auf dem Server MISP gespeichert ist.
      Info Kurzbeschreibung des Events.
      Tags (lokal) Tags, die in der Instanz MISP der Hostorganisation verfügbar sind, um Tagging für die Synchronisierung und Exportfilterung zu aktivieren. MISP Events werden nicht geändert, wenn Sie lokale Tags verwenden. Lokale Tags werden immer entfernt, bevor sie mit anderen MISP Instanzen und Communitys synchronisiert werden.
      Tags (global) Tags, die global verfügbar sind, um mit anderen MISP Instanzen und Sharing-Communities geteilt und synchronisiert zu werden. Wenn Sie MISP -Instanzen globale Tags hinzufügen, können Sie Events ändern.
      Galaxien (lokal) Galaxien, die in der Instanz MISP der Hostorganisation für Synchronisierung und Exportfilterung verfügbar sind. MISP Events werden nicht geändert, wenn Sie lokale Galaxien verwenden. Diese lokalen Galaxien werden immer entfernt, bevor sie mit anderen MISP -Instanzen und Community-Freigaben synchronisiert werden.
      Galaxien (global) Galaxien, die global verfügbar sind, um mit anderen MISP Instanzen und Sharing-Communities geteilt und synchronisiert zu werden. Wenn Sie globale Galaxien hinzufügen, MISP können Sie Events ändern.
    6. Um ein lokales oder globales Tag zu bearbeiten, klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen:
    • Tags (lokal)
    • Tags (global)
    1. Geben Sie im Dialogfeld „MISP-Event-Tags“ den Tag-Namen ein, um die Tags zu suchen und hinzuzufügen.
    2. Klicken Sie auf Tags für MISP-Ereignis aktualisieren.

      Das folgende Beispiel zeigt, dass Sie durch Klicken auf das Bearbeitungssymbol für die lokalen Tags die Tags C3, Adware, C2 und Botnet 3101 suchen und hinzufügen und den MISP-Server mit den Tags aktualisieren können. Die Bestätigungsmeldung zeigt an, dass alle Tags in MISPaktualisiert wurden.

      Abbildung : 6. Tags für MISP-Ereignis werden aktualisiert
      Tags für ein MISP-Ereignis werden aktualisiert.
    3. Klicken Sie in der Erfolgsmeldung auf Formular neu laden, um die Änderungen im Datensatz anzuzeigen.

    Ergebnisse

    Die Tags wurden erfolgreich auf dem Server MISP aktualisiert.

    Aktualisiert Galaxien für ein MISP -Ereignis oder -Attribut

    Fügen Sie Galaxien in Now Platform MISP hinzu, oder entfernen Sie sie, damit Sie diese Objekte als Cluster in der Instanz MISP klassifizieren und an MISP Events oder Attribute anhängen können.

    Vorbereitungen

    • Überprüfen Sie die MISP Benutzerrolle und Berechtigungen ist für die Verwendung der bidirektionalen Funktionen von MISP erforderlich.
    • Um lokale Galaxien hinzuzufügen, muss der Benutzer, der die Integration konfiguriert hat, zur Hostorganisation des entsprechenden MISP -Servers gehören.
    • Die für Sie verfügbaren Tags und Galaxien basieren auf der Quelle MISP und ihren Verteilungsberechtigungen.
    • Erforderliche Rolle: sn_sec_misp.write

    Prozedur

    1. Klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol. in einer der folgenden Optionen.
    • Galaxien (lokal)
    • Galaxien (global)
    1. Geben Sie im Dialogfeld MISP-Event-Galaxien ein, und suchen Sie, um die Tags hinzuzufügen.
    2. Klicken Sie auf Galaxien für MISP-Ereignis aktualisieren.

      Das folgende Beispiel zeigt, wie Sie auf das Bearbeitungssymbol für die lokalen Galaxien klicken, den veralteten Namespace auswählen, die Galaxie Enterprise Attack - Attack Pattern auswählen und Clusterinformationen hinzufügen. Nachdem die Galaxie-Informationen aktualisiert wurden, können Sie die Erfolgsmeldung anzeigen.

      Abbildung : 7. Aktualisiert die Galaxie-Informationen für das MISP-Ereignis
      Galaxie-Informationen werden für das MISP-Ereignis aktualisiert.
      Die Galaxien wurden auf dem Server MISP erfolgreich aktualisiert.
    3. Klicken Sie in der Erfolgsmeldung auf Formular neu laden, um die Änderungen im Datensatz anzuzeigen.