Sichtungssuchen in MISP

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Sie können Sichtungssuchen für erkennbare Elemente in der Instanz MISP durchführen, um zu bestimmen, wie oft bestimmte Arten von Angriffen, z. B. Phishing-Angriffe oder Kommunikation mit einer schädlichen IP oder URL, in Ihrem Netzwerk auftreten. Jedes Vorkommen wird als Sichtung betrachtet.

    Sichtungen in MISP

    Sichtungen geben an, dass ein Indikator, ein Objekt oder ein Attribut gesehen wurde und seine Gültigkeit bestätigt wird. Sichtungen in MISP sind ein System, mit dem Sie auf Attribute für ein Event reagieren können. Es wurde entwickelt, um Ihren Benutzern eine einfache Methode zu bieten, um zu bestätigen, dass sie ein bestimmtes Attribut gesehen haben, was ihm mehr Glaubwürdigkeit verleiht. Sie können ein Attribut mehrmals anzeigen.
    Hinweis:
    Erkennbare Elemente werden in MISP als Attribute bezeichnet.

    Einige Attribute werden als falsch positive Werte betrachtet, was bedeutet, dass sie keine gültigen Sichtungen sind. Andere Attribute sind nur für eine bestimmte Dauer gültig, z. B. eine Phishing-Kampagne, die nur eine Woche lang ausgeführt wird. Sie können den Attributen, die für eine bestimmte Dauer gültig sind, ein Ablaufdatum zuweisen, aber jede Organisation kann einem Attribut nur ein gültiges Ablaufdatum zuweisen.

    Sichtungen, die in MISP von Benutzern von Organisationen erstellt werden, die auf dem entsprechenden MISP-Server als lokal gekennzeichnet sind, werden als interne Sichtungen bezeichnet. Sichtungen, die in MISP von Benutzern von Organisationen erstellt werden, die auf dem entsprechenden MISP -Server als remote markiert sind, werden als externe Sichtungen bezeichnet.

    Sichtungssuchen in SIR

    Der Workflow „Security Operations Integration - Sichtungssuche“ führt die Sichtungssuche aus. Dieser Workflow akzeptiert eine Liste von erkennbaren Elementen, sucht nach Implementierungsfähigkeiten, erstellt die Abfragen, die auf den Sichtungssuchkonfigurationen basieren, und führt die Suchvorgänge aus, die auf dem konfigurierten Workflow basieren.

    Sichtungssuchen helfen Analysten, die Verbreitung einer Bedrohung im Laufe der Zeit zu bestimmen. Sie können einzelne oder mehrere erkennbare Elemente und den Datumsbereich für Ihre Suche aus einem Security Incident auswählen. Die Ergebnisse sind in den zugehörigen Listen Security Incident Sichtungen, Sichtungssuchergebnisseund Sichtungssuchdetails enthalten.

    Wenn Sie mit der Analyse eines Incident beginnen, können Sie Now Platform so einrichten, dass automatisch eine Sichtungssuche durchgeführt wird, oder manuell eine Suche nach erkennbaren Sichtungen durchführen, um andere Benutzer in Ihrer Organisation zu identifizieren, die von demselben Phishing-Angriff betroffen sind.

    Aktivieren Sie automatische Sichtungssuchen in MISP

    Aktivieren Sie die automatische Ausführung der Sichtungssuche in MISP, damit der Workflow „Security Operations Integration – Sichtungssuche“ immer dann ausgelöst wird, wenn neue erkennbare Elemente mit einem Security Incident verknüpft werden.

    Vorbereitungen

    Vergewissern Sie sich, dass die Sichtungssuchkonfigurationsprofil für MISP ist aktiv.

    Erforderliche Rolle: sn_si.analyst

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie aktivieren Die Sichtungssuchfunktion wird automatisch in ausgeführt MISP -Integrationskonfiguration, wird die Sichtungssuche in MISP ausgelöst, wenn neue erkennbare Elemente mit einem Security Incident verknüpft werden. Standardmäßig ist die Option Sichtungssuche automatisch ausführen, wenn dem Security Incident neue erkennbare Elemente zugeordnet werden aktiviert.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, die Sie in den MISP Sichtungssuchdaten anzeigen möchten.
    3. Überprüfen Sie die Arbeitsnotizen, nachdem dem Security Incident neue erkennbare Elemente zugeordnet wurden.
      Eine Arbeitsnotiz wird veröffentlicht, wenn der Workflow Security Operations Integration - Sichtungssuche ausgelöst wurde.

      Das folgende Beispiel zeigt den Abschnitt „Arbeitsnotizen“.

      Zeigen Sie die Arbeitsnotizen an, und überprüfen Sie, ob der Sichtungssuch-Workflow ausgelöst wurde.
    4. Zeigen Sie die zusammengefassten Informationen von erkennbaren Elementen an, die für alle Events (global) angezeigt und nach internen oder externen Sichtungen kategorisiert werden, nachdem die Workflow-Ausführung abgeschlossen ist.
      Zeigen Sie die Informationen in den zugehörigen Listen „ Sichtungen“, „ Sichtungssuchergebnisse “ und „ Sichtungssuchdetails “ an. Das folgende Beispiel zeigt den Sichtungssuchdatensatz, der in der zugehörigen Liste „Sichtungen“ erstellt wurde.
      Zeigen Sie den Datensatz „Sichtungssuche“ an, der auf der Registerkarte „Sichtungen“ erstellt wurde.
      Tabelle : 1. Sichtungssuchdatensatz
      Feld Beschreibung
      Erstellt Datum und Uhrzeit der Erstellung des Sichtungssuchdatensatzes.
      Erkennbares Element Erkennbares Element, nach dem von der Abfrage gesucht wird.
      Sichtungsanzahl Anzahl der internen und externen Sichtungen.
      Quelle Quelle des erkennbaren Elements. Wenn das erkennbare Element aus einer MISP -Organisation stammt, werden dem Datensatz die Wörter MISPvorangestellt.
      Ist lokal Status, ob die Sichtung von einem internen Benutzer gemeldet wurde.
      Sichtungssuchlink Sichtungssuchlink in der Instanz MISP.
      Zusammenfassung Typ der Sichtungen, die dem Datensatz zugeordnet sind. Die drei Arten von Sichtungen sind „Sichtung“, „Falsch positiv“ und „Ablauf“.

      Die Spalte Zusammenfassung wird nur angezeigt, wenn MISP integration for Security Operations installiert ist. Wenn andere Quellen als MISP angezeigt werden, ist der Spalteneintrag Zusammenfassung für diesen Datensatz leer.

    Führen Sie eine manuelle Sichtungssuche in durch MISP

    Wählen Sie einzelne oder mehrere erkennbare Elemente aus, und führen Sie eine manuelle Sichtungssuche in der Anwendung Now Platform MISP integration for Security Operations durch, um die Verbreitung einer Bedrohung im Laufe der Zeit zu bestimmen.

    Vorbereitungen

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, nach denen Sie die Sichtungssuche MISP ausführen möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die Registerkarte Zugeordnete erkennbare Elemente anzeigen.
    4. Wählen Sie das erkennbare Element aus, und klicken Sie dann im Menü Aktionen auf Sichtungssuche ausführen.
      Sie können mehrere erkennbare Elemente für eine Sichtungssuche auswählen.
      Das Dialogfeld „Sichtungssuche ausführen“ wird geöffnet.
    5. Geben Sie den Datumsbereich an, in dem nach den Sichtungssuchdaten gesucht werden soll.
      Tabelle : 2. Dialogfeld „Sichtungssuche ausführen“.
      Feld Beschreibung
      Letzte Anzahl der Stunden oder Tage vor der Erstellung des zu durchsuchenden Incidents.

      Der Standardwert ist 7 Tage. Der Grenzwert beträgt 99 Stunden oder Tage.
      zwischen Zu durchsuchender Datumsbereich. Standarddaten:
      • Datum und Uhrzeit der Erstellung des Incident.
      • Datum und Uhrzeit, d. h. sieben Tage vor der Eröffnung des Incident.
    6. Klicken Sie auf Suche.
      Das folgende Beispiel zeigt die Ergebnisse der manuellen Sichtungssuche in den Arbeitsnotizen.
      Manuelle Sichtung von Suchergebnissen in den Arbeitsnotizen.

    Ergebnisse

    Ein Sichtungssuchdatensatz wird erstellt. Nach Abschluss der Workflow-Ausführung können Sie die zusammengefassten Informationen der erkennbaren Elemente anzeigen, die für alle Events (global) gelten und nach ihren internen oder externen Sichtungen kategorisiert sind. Zusammengefasste und zugehörige Sichtungsdaten werden im Security Incident unter den zugehörigen Listen „ Sichtungen“, „Sichtungssuchergebnisse“ und „Sichtungssuchdetails“ angezeigt.

    Melden Sie Sichtungen an MISP

    Melden Sie Sichtungen von Bedrohungsdaten, damit Sie auf Falschmeldungen in Ihren Daten reagieren und Ihr Bewusstsein für das Auftreten einer echten positiven Bedrohung schärfen können. Sie können auch ein Ablaufdatum für ein bestimmtes erkennbares Element oder Attribut hinzufügen.

    Vorbereitungen

    Warum und wann dieser Vorgang ausgeführt wird

    Mit MISP integration for Security Operations können Sie Sichtungen global für alle Events an MISP melden. Um eine Sichtung für ein bestimmtes Ereignis zu melden, müssen Sie die Instanz MISP verwenden und die Sichtung lokal melden.

    Um eine Sichtung an MISPzu melden, muss das erkennbare Element oder das Attribut in der Instanz MISP verfügbar sein.

    Prozedur

    1. Navigieren zu Alle > Security Incident > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, der die erkennbaren Elemente enthält, für die Sie die Sichtungen an MISP melden möchten.
    3. Klicken Sie auf Alle zugehörigen Listen anzeigen und die zugehörige Liste „Sichtungen“ anzeigen.
    4. Wählen Sie das erkennbare Element aus, und wählen Sie im Menü Aktionen eine der folgenden Optionen aus.
      OptionBeschreibung
      MISP: Erkennbare Sichtungen melden Erkennbares Element als gesichtet an MISPmelden . Wenn das erkennbare Element mehreren Events zugeordnet ist, wird es in allen Events aktualisiert.
      MISP: Erkennbares Element als falsch positiv melden Erkennbares Element als falsch positiv an MISPmelden .
      MISP: Erkennbares Element als abgelaufen melden Erkennbares Element als abgelaufen an MISPmelden .
      Wenn Sie erkennbare Elemente auswählen, die nicht spezifisch für eine Quelle MISP sind, wird im Menü Aktionen die Anzahl der relevanten Quellen MISP angezeigt. Das folgende Beispiel zeigt vier von acht erkennbaren Elementen, die für MISPrelevant sind. Das folgende Beispiel zeigt das Aktionsmenü und die relevanten erkennbaren Elemente für die Übermittlung.
      Abbildung : 1. Menü „Aktionen“, in dem die relevanten erkennbaren Elemente für die Übermittlung angezeigt werden
      Das Menü „Aktionen“ zeigt die relevanten erkennbaren Elemente für MISP an.
    5. Wahlweise: Wenn Sie die Option MISP: Sichtungen erkennbarer Elemente melden ausgewählt haben, müssen Sie die Felder des Dialogfelds Sichtungen erkennbarer Elemente an MISP melden ausfüllen.
      Tabelle : 3. Dialogfeld „Erkennbare Sichtung melden an MISP
      Feld Beschreibung
      Quelle Quellfeld, das der Quelle MISP der Sichtung entspricht.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element gesichtet wurde. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in MISPeingetragen .

      Das folgende Beispiel zeigt, wie Sie im Security Incident zur zugehörigen Liste „Sichtungen“ navigieren. In dieser Liste können Sie ein erkennbares Element auswählen und die Sichtung des erkennbaren Elements an MISPmelden. Die Erfolgsmeldung zeigt, dass die Sichtung erfolgreich an MISPübermittelt wurde.

      Abbildung : 2. Meldet Sichtungen erkennbarer Elemente an MISP
      Meldet Sichtungen erkennbarer Elemente an MISP
      1. Klicken Sie auf Sichtung melden.
    6. Wahlweise: Wenn Sie die Option MISP: Erkennbares Element als falsch positiv melden ausgewählt haben, sollten Sie die Felder des Dialogfelds „Erkennbares Element als falsch positiv melden an MISP “ ausfüllen.
      Tabelle : 4. Dialogfeld „Erkennbares Element als falsch positiv melden“ an MISP
      Feld Beschreibung
      Quelle (optional) Quellfeld, das der Quelle MISP entspricht. Verwenden Sie dieses Feld, um das erkennbare Element als falsch positiv zu deklarieren.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element als falsch positiv eingestuft wurde. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in MISPeingetragen .
      1. Klicken Sie auf Falsch positive Meldungen.
    7. Wahlweise: Wenn Sie die Option MISP: Erkennbares Element als abgelaufen melden ausgewählt haben, sollten Sie die Felder des Dialogfelds „Ablauf erkennbarer Elemente melden an MISP “ ausfüllen.
      Tabelle : 5. Dialogfeld „Ablauf erkennbarer Elemente an MISP melden“.
      Feld Beschreibung
      Quelle Quellfeld, das der Quelle MISP entspricht. Verwenden Sie dieses Feld, um ein erkennbares Element als abgelaufen festzulegen.
      Datum Datumsfeld, das dem Datum entspricht, an dem das erkennbare Element abgelaufen ist. Wenn das Datum leer ist, werden das aktuelle Datum und die aktuelle Uhrzeit in MISPeingetragen .
      1. Klicken Sie auf Berichtablauf.

    Ergebnisse

    Die Sichtungen werden erfolgreich auf den Server MISP aktualisiert.